Bazı tarayıcı eklentileri, sıradan fonksiyonlar sunuyor üzere görünse de art planda apayrı bir gayeye hizmet ediyor. Kullanıcı farkında olmadan bilgi akışına dahil ediliyor, tarayıcılar görünmez bir ağın modülü hâline geliyor. Bu durumun merkezinde ise MellowTel-js isimli bir kütüphane yer alıyor.
Popüler tarayıcılarda yer alan kimi eklentiler, kullanıcı farkında olmadan internet sitelerinden bilgi çeken bir ağın kesimi haline geliyor. Görünürde kolay fonksiyonlar sunan bu eklentiler, aslında kullanıcıların gezindiği sitelerden bilgi çekerek saklılığı ve güvenliği tehlikeye atıyor.
Chrome, Firefox ve Edge için geliştirilen 245 farklı eklentide ortak olarak yer alan bir JavaScript kütüphanesi, kullanıcıların tarayıcılarını, fiyatlı bilgi çekme (scraping) sistemlerinde kullanıma açıyor.
Güvenlik açıkları önemli riskler doğuruyor
Eklentiler birinci bakışta ses artırıcı, pano yöneticisi ya da rastgele sayı üretici üzere kolay araçlar üzere görünse de art planda kullanıcıdan habersiz biçimde bilgi transferi gerçekleştiriyor.
Söz konusu JavaScript kütüphanesi olan MellowTel-js, geliştiricilere gelir paylaşımı sunan bir sistem olarak tanımlanıyor. Lakin uzmanlar, bu sistemin ardında web kazıma hizmeti sunduğunu belirten Olostep isimli bir şirketin bulunduğunu söylüyor. Elde edilen bulgulara nazaran eklentiler, ziyaret edilen sayfalara zımnî kontaklar (iframe) yerleştiriyor ve kullanıcıdan habersiz bir halde öteki internet sitelerine erişim sağlıyor.
Güncel durum:
- Chrome tarayıcısı için tespit edilen 45 eklentiden 12’si devre dışı bırakıldı.
- Edge tarayıcısında yer alan 129 eklentiden 8’i kaldırıldı.
- Firefox’ta tespit edilen 71 eklentiden 2’si artık etkin değil.
Uzmanlara nazaran bu durum sadece zımnilik ihlaliyle sonlu değil. Web sayfalarının güvenlik başlıklarını süreksiz olarak kaldıran sistem, tarayıcıyı çeşitli atak cinslerine karşı da savunmasız bırakıyor. Eklentiler aracılığıyla açılan temasların güvenliği kullanıcının denetimi dışında olduğu için, tek bir sitenin ele geçirilmesi bile önemli sonuçlar doğurabiliyor.
Benzer bir data toplama hadisesi 2019 yılında da yaşanmış, milyonlarca kullanıcıya ilişkin bilinmeyen bilgiler üçüncü taraflarla paylaşılmıştı. Yeni olay ise tıpkı yapının daha farklı araçlarla sürdüğünü gösteriyor.
