شبكة مشبوهة من إضافات Chrome تهدد أمن الملايين وتكشف ثغرات خطرة في نظام تحقق Google

⬤ كشف باحث أمني عن 35 إضافة مشبوهة في Chrome تهدد أمان أكثر من 4 ملايين مستخدم.

⬤ تتمتع الإضافات بصلاحيات واسعة وقدرات خفية تتيح مراقبة نشاط تصفح المستخدم بالكامل.

⬤ يثير حصول بعض هذه الإضافات على شارة Google المميزة شكوكاً جدية حول نظام التحقق لديها.

كشف باحث أمني عن شبكة تضم ما لا يقل عن 35 إضافة «مشبوهة» لمتصفح Google Chrome، حصدت أكثر من 4 ملايين عملية تحميل، ما يعني تعريض بيانات المستخدمين وعادات تصفحهم لخطر جسيم.

جاء هذا الاكتشاف على يد جون توكنر، مؤسس شركة أمن المتصفحات Secure Annex، خلال مساعدته لأحد العملاء. إذ قاده التحقيق إلى مجموعة من الإضافات التي تبدو للوهلة الأولى غير ضارة، إذ تقدم نفسها كمساعدات للبحث أو أدوات للحماية أو فاحصات للإضافات، لكنها تتشارك نمطاً برمجياً واحداً ومشابهاً في الكود، وتتصل بخوادم خلفية موحدة، وتطلب جميعها صلاحيات حساسة ومتشابهة بشكل لافت.

تشمل هذه الصلاحيات القدرة على إدارة نوافذ التصفح، والتحكم في ملفات تعريف الارتباط (Cookies) لجميع المواقع، واعتراض وتعديل حركة التصفح بالكامل، وتخزين البيانات بشكل دائم، وحقن أكواد JavaScript في صفحات الويب، بالإضافة إلى جدولة المهام الخلفية. وحذر توكنر من أن هذه القدرات تتيح لتلك الإضافات التفاعل وظيفياً مع كامل نشاط المستخدم داخل المتصفح، مما يجعلها أداة قوية للإساءة وسرقة المعلومات.

المثير للقلق أن هذه الإضافات تلجأ إلى إخفاء الكود البرمجي باستخدام أساليب تعتيم لا تقدم أي فائدة للمستخدم، بل فقط تصعب تحليل الإضافة وتخفي سلوكها الحقيقي.

أما توزيع هذه الإضافات فيكتنفه الغموض والريبة؛ إذ إن 34 من أصل 35 إضافة غير مدرجة في متجر Chrome، أي أنها لا تظهر في نتائج البحث ولا يمكن تثبيتها إلا من خلال روابط مباشرة، وهي طريقة مستخدمة أحياناً بشكل مشروع داخل المؤسسات، لكنها في الغالب وسيلة يتبعها المخترقون لتفادي الرقابة. وما يزيد الطين بلة هو أن هذه الإضافات حققت مجتمعة أكثر من 4 ملايين تثبيت، بمتوسط يفوق 114 ألف تثبيت لكل واحدة، في ظاهرة يصعب تفسيرها.

ما فاقم من الشكوك أيضاً أن 10 من هذه الإضافات حصلت على شارة التميز «Featured» من Google، المخصوصة عادة لإضافات مطورين موثوقين يتبعون أفضل الممارسات التقنية ويوفرون تجربة استخدام عالية الجودة. الأمر الذي يطرح تساؤلات جدية حول فعالية نظام التحقق المعتمد من Google.

من بين أبرز هذه الإضافات، أداة تُدعى Fire Shield Extension Protection، والتي تدعي أنها تفحص إضافات Chrome الضارة، لكنها شكلت مفتاحاً لفهم سلوك الشبكة كاملة. إذ اكتشف توكنر أن ملفات JavaScript الخاصة بها تتصل بعدة نطاقات مشبوهة بهدف رفع البيانات أو تلقي أوامر، من بينها نطاق unknow.com، المشترك في جميع الإضافات، رغم أنه غير فعال ولا يحتوي على موقع نشط، ويبدو أنه معروض للبيع حالياً.

تطلب تحليل هذه الإضافة جهداً مضاعفاً، إذ كانت تفتح صفحات فارغة أو لا تعرض أي خيارات عند النقر على أيقونتها. غير أن تحميل ملف إعداد خاص بها سبق أن نشره على GitHub مستخدم اشتبه في إضافة أخرى تُدعى Browse Securely for Chrome (وقد تم تغيير اسمها لاحقاً)، أظهر سلوكاً خفياً في Fire Shield، حيث بدأت ترسل معلومات تتعلق بنشاط المستخدم، مثل المواقع التي تمت زيارتها، ومعلومات الإحالة، وحجم الشاشة.

في حين لم يعثر توكنر على دليل قاطع على سرقة بيانات حساسة مثل كلمات المرور، يؤكد الباحث أن حجم التعتيم في الكود، وإمكانية التحكم عن بعد في إعدادات الإضافة، إلى جانب القدرات البرمجية الواسعة، تجعل من المؤكد تقريباً أن هذه الأدوات تتضمن نوعاً من أدوات التجسس أو سرقة المعلومات.

يأتي هذا الكشف ليذكر المستخدمين مجدداً بالمخاطر الكامنة في الإضافات البرمجية وتطبيقات الهواتف، حيث تحض المنصات في كثير من الأحيان على التثبيت دون رقابة كافية. ويوصي الخبراء بعدم تثبيت أي إضافة إلا عند الضرورة القصوى، وبعد قراءة المراجعات الحديثة والبحث عن خلفية المطور إن أمكن.

نشرت Secure Annex قائمة كاملة تتضمن أسماء الإضافات المشبوهة، ومعرفاتها، إلى جانب مؤشرات فنية أخرى، عبر مدونتها وفي جدول بيانات متاح للعامة. ويُنصح المستخدمون بفحص إضافاتهم وحذف أي من تلك على الفور في حال وجودها لديهم، نظراً لما تمثله من أخطار أمنية جسيمة.

حتى لحظة كتابة هذه السطور، لم تصدر Google أي تعليق رسمي حول تحقيقها في هذه الإضافات أو بشأن المعايير التي تقوم على أساسها بمنح شارة Featured.