Siber güvenlik araştırmacıları “Youtube için Adblock” tarayıcı uzantısını incelediler ve potansiyel bir güvenlik açığı keşfettiler. Üretici aynı zamanda Google'ın “kötü amaçlı yazılım” olarak Chrome Web Mağazası'ndan çıkardığı uzantılarla da bağlantılıdır. Kullanıcıların alternatif çözümlere yönelmesi gerekiyor.
Duyurudan sonra devamını okuyun
Island.io'daki BT araştırmacıları da analizlerinde sorunu “BadBlocker” olarak adlandırıyor. Reklam engelleyici “Youtube için Adblock”un (cmedhionkhpnakcndndgjdbohmhepckk) 11 milyondan fazla yüklemeye sahip olduğunu ve 377.000'den fazla inceleme ve olası 5 üzerinden 4,4 yıldız derecelendirmesiyle kullanıcılar tarafından geniş çapta güvenildiğini iddia ediyorlar. Almanya'daki en popüler uzantılar sıralamasında ise 15. sırada yer alıyor. Gerçekten YouTube reklamlarını engelliyor ve işe yarıyor.
Reklam engelleyicide guguk kuşu yumurtası
Ancak reklam engelleyici, görüntülediğiniz herhangi bir web sitesine rastgele JavaScript kodu yerleştirmenin bir yolunu da içerir. Bu, web mağazasının kontrol mekanizmalarından geçmesi gereken bir güncelleme gerektirmez, yalnızca sunucu tarafında bir yapılandırma değişikliği gerektirir. Ayrıca böyle bir değişikliğin, kullanıcıların bunu tanımak için kullanabileceği görünür bir etkisi olmayacaktır. Bu, reklam engelleyicinin web sitelerini okumasına, verileri çalmasına veya kişisel hesaplarda, iş uygulamalarında, yönetici panellerinde veya diğer hassas tarayıcı oturumlarında kullanıcı olarak hareket etmesine olanak tanır.
Siber araştırmacılar, kullanıcılara iletilen herhangi bir kötü amaçlı kodu açık bir şekilde keşfetmediklerini vurguluyor. 11 milyon tarayıcıyı etkileyen olasılığı keşfettiler. Bu bağlamda, uzantının geliştiricisinin, Google'ın “kötü amaçlı yazılım” gerekçesiyle Chrome Web Mağazası'ndan çıkardığı tarayıcı uzantılarını da içeren en azından şüpheli bir profile sahip olduğunun altı çiziliyor. Bu gerçek bir riske yol açıyor. Kaldırılan Chrome için Adblock (onomjaelhagjjojbkcafidnepbfkpnee) ve Sizin için Adblock (ogcaehilgakehloljjmajoempaflmdci) uzantıları bu nedenle YouTube için Adblock'a bağlantılara sahiptir.
YouTube için Adblock uzantısı 2014 yılında Chrome Web Mağazası'na geldi. O zamandan bu yana, mevcut sahibine 2018 civarında bazı kod değişiklikleri ve sahiplik değişiklikleri yapıldı. Bu arada uzantı, sayfalara reklam ekleyen Unistream SDK ile dağıtıldı. Sahiplik değişikliğinden bu yana dağıtım birkaç 100.000 kullanıcıdan 10 milyonun üzerine çıktı. Uzantının tarayıcıda yapabilecekleri konusunda da belgelenmemiş değişiklikler oldu. Ancak İzlandalı araştırmacılar, kullanıcılar arasında yüksek güvenin her şeyden önce reklam engelleyiciler olduğunu söylüyor. Başka uzantılara hiçbir zaman verilmeyecek izinleri talep edebilirsiniz.
Uzantı her yerde aktif
YouTube için Adblock, yalnızca YouTube web sitesindeki reklamları engellemeyi amaçlamaktadır. Ancak uzantı, uzantı manifest dosyasında belirtildiği için ziyaret edilen tüm web sitelerinde etkindir: Kendisini “youtube” bileşenine sahip URL'lerle sınırlamak yerine “all_urls”e erişim izni verir. Bu, uzantıyla birlikte sağlanan kaynak kodunu kontrol ederek yapılabilir. Ancak yalnızca “youtube.com”un URL'de karakter dizesi olarak görünüp görünmediğini kontrol edin. Bu, uzantının aramayı kişiselleştirebileceği tüm olası sayfalara erişmesine olanak tanır. İzlanda örnek olarak “www.facebook.com/page?ref=youtube.com” veya “bank.example.com/search?q=youtube.com” adreslerini gösteriyor. Bu nedenle YouTube için Adblock'un buna erişimi vardır.
Duyurudan sonra devamını okuyun
Uzantı ayrıca her 24 saatte bir sunucusundan yeni bir yapılandırma yapılmasını gerektirir; “https://api.adblock-for-youtube.com/api/v2/rules?version=7.2.1” gibi bir istek gönderin. Ağ filtreleri, CSS seçiciler gibi reklam engelleyici kurallarının yanı sıra “scriptletsRules” adı verilen bir alan da geri döner. YouTube için Adblock, reklamları engellemek için kullanılan bir dizi JavaScript işlevi sunar; Bu aynı zamanda reklam engelleyiciler için de yaygındır. Sunucu bunlardan hangisinin hangi argümanlarla yürütüleceğini kontrol eder. Sunucu tarafı talimatları, YouTube için Adblock'a JavaScript kodunun eklenmesine yol açabilir. Konseptin bir kanıtı olarak bilgisayar araştırmacıları YouTube için Adblock sunucusunu taklit ettiler. YouTube'u ziyaret ederek tetiklenmeyi bekleyen, değiştirilmiş bir scriptletRules girişiyle yanıt verir. Bir kullanıcı YouTube'a göz atıyorsa, sunucu tarafından gönderilen komut dosyası web sitesine eklenir ve arka planda özellikle Salesforce web sitesini çağırabilir; “youtube.com” dizesi girildiğinde, uzantı artık buna tam erişime sahiptir. Konsept kanıtı yalnızca kullanıcıların erişebildiği verileri okur ve bunları sahte sunucuya geri gönderir. Bunların hepsi yalnızca bir sunucu tarafı değişikliğiyle mümkündür.
BT güvenliği araştırmacıları, tek bir şüpheli kod satırına karşı değil, tüm sayfalara erişim sağlayan çok sayıda kurulum, uzaktan kontrol edilebilir bir kod yerleştirme yolu ve önceki reklam sızma altyapısı, büyük sahiplik ve kod tabanı değişiklikleri ve kötü amaçlı yazılım sinyalleri nedeniyle Chrome Web Mağazası'ndan atılan ilgili uzantıların birleşimi konusunda ihtiyatlı olduklarını söylüyorlar. Spesifik bir suiistimal gözlemlemediklerini ancak ciddi dikkat gerektiren bir risk profili gözlemlediklerini yineliyorlar.
Örneğin şirketlerde, tüm reklam engelleyiciler genel olarak engellenmemelidir çünkü iyi olanlar aslında faydalıdır. Genişlemenin uzlaşma göstergeleri (IOC'ler) biçiminde var olduğuna dair rehberlik ve sinyaller sağlarlar.
Şubat ayı ortasında siber araştırma topluluğu “Q Continuum”, kullanıcıları gözetleyen ve kullanıcıların tarayıcı geçmişini ilgili üreticilerine gönderen, bazıları milyonlarca kez yüklenmiş yüzlerce uzantı keşfetti.
(Bilmiyorum)

Bir yanıt yazın