« Tüm yayınlar

Popüler ModHeader Uzantısı Kullanıcı Verisini Sızdırıyor

1.6M+ kurulumlu ModHeader uzantısının AES-GCM şifreli, gizli veri sızdırma mekanizması ters mühendislikle ortaya çıkarıldı.

1.6 milyondan fazla kurulumu olan Chrome/Edge uzantısı ModHeader'ın v7.0.17 sürümü, kullanıcıların ziyaret ettiği tüm alan adlarını gizlice topladığı ortaya çıktı. Ters mühendislik analizi, verilerin AES-GCM ile sabit kodlanmış bir anahtarla şifrelendiğini, IndexedDB'de saklandığını ve rastgele zaman aralıklarında api.stanfordstudies.com adresine gönderildiğini gösteriyor.

Sistem; cihaza özgü bir parmak izi, şifreli alan adı listesi, tarayıcı kimliği ve yükleme geçmişini içeriyor. Yükleme, 1000 benzersiz alan adı ziyaretinde veya 24 saat geçtiğinde tetikleniyor; başarılı gönderimden sonra yerel kanıtlar otomatik olarak siliniyor. Zamanlama, her kurulum için SHA-256 tabanlı bir ofsetle rastgele hale getirilmiş ve Unicode karakter içeren bir tuz değeriyle grep taramalarından kaçınılmış.

Geliştiriciler ve pentest ekipleri için bu olay, popüler ve güvenilir görünen tarayıcı uzantılarının bile tedarik zinciri riski taşıyabileceğini gösteriyor. Header değiştirme gibi zararsız görünen bir işlevin arkasına gizlenmiş tam bir veri sızdırma alt sistemi, izin denetimlerinin ve uzantı güncellemelerinin düzenli olarak gözden geçirilmesi gerektiğini hatırlatıyor.