توجد ثغرات أمنية في الإضافة المعروفة Chrome SwitchyOmega، كيف يمكن الحماية من تعديل الإضافة؟
مؤخراً، أبلغ المستخدمون عن وجود مخاطر أمنية محتملة بسبب ملحق SwitchyOmega الشهير لتبديل الوكلاء على Chrome، الذي قد يقوم بسرقة المفاتيح الخاصة. بعد التحقيق، تبين أن هذه المشكلة ظهرت منذ العام الماضي، ولكن قد يكون بعض المستخدمين لم ينتبهوا للتحذيرات واستمروا في استخدام النسخة الملوثة من الملحق، مما يعرضهم لخطر تسرب المفاتيح الخاصة واختراق الحسابات. ستقوم هذه المقالة بتحليل حادثة التلاعب بهذه الإضافة، واستكشاف كيفية الوقاية والتعامل مع مخاطر مشابهة.
مراجعة الأحداث
بدأت هذه الحادثة في الأصل نتيجة تحقيق في هجوم. في 24 ديسمبر 2024، تلقى موظف من إحدى الشركات بريدًا إلكترونيًا للتصيد الاحتيالي، مما أدى إلى تضمين الشيفرة الضارة في الإضافات التي تم إصدارها، في محاولة لسرقة ملفات تعريف الارتباط وكلمات المرور الخاصة بالمستخدمين من المتصفح. أظهر التحقيق المستقل أن هناك أكثر من 30 إضافة في متجر إضافات جوجل قد تعرضت لهجمات مشابهة، بما في ذلك Proxy SwitchOmega (V3).
تدعي رسائل البريد الإلكتروني الاحتيالية أن الامتداد الخاص بالمتصفح لشركة ما ينتهك الشروط ذات الصلة من Google، وتهدد بأنه إذا لم يتم اتخاذ إجراء فوري، فسيتم سحب الملحق. بدافع من الإحساس بالعجلة، نقرت الموظف على الرابط الاحتيالي في البريد الإلكتروني ومنحت تطبيق OAuth يسمى "Privacy Policy Extension" الإذن. بمجرد أن يحصل المهاجم على حق الوصول إلى تطبيق OAuth، يمكنه التحكم عن بعد في حساب الضحية، وتعديل بيانات التطبيق دون الحاجة إلى كلمة مرور.
بعد أن حصل المهاجمون على السيطرة على حساب متجر تطبيقات Chrome، قاموا بتحميل إصدار جديد من الإضافة يحتوي على رمز خبيث، واستغلوا آلية التحديث التلقائي في Chrome، مما جعل المستخدمين المتأثرين يقومون بالتحديث إلى الإصدار الضار دون علمهم.
تحتوي المكونات الضارة على ملفين، حيث يتصل ملف worker.js بخادم الأوامر والتحكم، وينزل الإعدادات ويخزنها في التخزين المحلي لـ Chrome، ثم يسجل المستمعين للاستماع إلى الأحداث من content.js. النسخة الضارة تقوم بتنزيل وتثبيت الشيفرة الضارة تلقائيًا في متصفح Chrome الذي يعمل بهذا الامتداد خلال 31 ساعة من الإطلاق.
أشارت تقرير التحقيق إلى أن الإضافات المتأثرة بالهجمات تجاوزت عدد تحميلاتها في متجر جوجل 500,000 مرة، وتم سرقة بيانات حساسة من أكثر من 2.6 مليون جهاز مستخدم، مما يشكل خطرًا كبيرًا على أمان المستخدمين. وقد تم عرض هذه الإضافات المعدلة في متجر التطبيقات لفترة تصل إلى 18 شهرًا، بينما كان من الصعب على المستخدمين الضحايا اكتشاف أن بياناتهم قد تم تسريبها.
نظرًا لأن سياسة تحديث متجر Chrome تدريجيًا لم تعد تدعم الإضافات من الإصدار V2، فإن الإضافة الرسمية الأصلية SwitchyOmega هي من الإصدار V2، وبالتالي تقع ضمن نطاق عدم الدعم. النسخة الضارة الملوثة هي من الإصدار V3، وحساب مطورها مختلف عن حساب الإصدار الأصلي V2. لذلك، لا يمكن تأكيد ما إذا كان هذا الإصدار قد تم إصداره من قبل الشركة الرسمية، ولا يمكن الحكم على ما إذا كان الحساب الرسمي قد تم اختراقه وتحميل إصدار ضار، أو ما إذا كان مؤلف الإصدار V3 لديه سلوك ضار منذ البداية.
يُنصح الخبراء الأمنيون المستخدمين بالتحقق من معرف الإضافات المثبتة، للتأكد مما إذا كانت النسخة الرسمية. إذا تم اكتشاف إضافات متأثرة مثبتة، يجب تحديثها على الفور إلى أحدث إصدار آمن، أو إزالتها مباشرةً، لتقليل مخاطر الأمان.
كيف تمنع تعديل الإضافات؟
لقد كانت ملحقات المتصفح دائمًا نقطة ضعف في أمان الشبكة. لتجنب التلاعب بالملحقات أو تنزيل ملحقات ضارة، يحتاج المستخدمون إلى اتخاذ تدابير أمنية من ثلاثة جوانب: التثبيت والاستخدام والإدارة.
قم بتنزيل الملحقات فقط من القنوات الرسمية
استخدم متجر Chrome الرسمي كأفضلية، ولا تثق بروابط التحميل من الطرف الثالث على الإنترنت.
تجنب استخدام المكونات الإضافية "المكركة" غير المعتمدة، حيث قد تحتوي العديد من المكونات الإضافية المعدلة على أبواب خلفية.
احذر من طلبات إذن الإضافات
كن حذرًا عند منح الأذونات، فقد تطلب بعض الملحقات أذونات غير ضرورية، مثل الوصول إلى سجلات التصفح، الحافظة، إلخ.
عند مواجهة مكونات إضافية تطلب قراءة معلومات حساسة، يجب أن تكون متيقظًا للغاية.
التحقق الدوري من المكونات الإضافية المثبتة
أدخل chrome://extensions/ في شريط عنوان Chrome لعرض جميع الإضافات المثبتة.
انتبه إلى وقت تحديث المكون الإضافي الأخير، إذا لم يتم تحديث المكون لفترة طويلة وفجأة تم إصدار إصدار جديد، يجب أن تكون حذرًا من احتمال التلاعب.
تحقق من معلومات مطور الإضافات بانتظام، وإذا تم تغيير المطور أو حدثت تغييرات في الأذونات، يجب أن تكون متيقظًا.
استخدام أدوات احترافية لمراقبة تدفق الأموال، لمنع خسارة الأصول
إذا كنت تشك في تسرب المفتاح الخاص، يمكنك استخدام أدوات احترافية لمراقبة المعاملات على السلسلة، ومعرفة اتجاه الأموال في الوقت المناسب.
بالنسبة لجهة المشروع، يجب على المطورين والمشرفين على الإضافات اتخاذ تدابير أمنية أكثر صرامة لمنع التلاعب الخبيث، وهجمات سلسلة التوريد، وإساءة استخدام OAuth، وغيرها من المخاطر:
التحكم في وصول OAuth
قيود على نطاق التفويض، ومراقبة سجلات OAuth، إذا كانت الإضافة تحتاج إلى استخدام OAuth للتحقق من الهوية، يُفضل استخدام آلية الرمز القصير + رمز التحديث، لتجنب التخزين الطويل الأمد للرموز عالية الصلاحية.
تعزيز أمان حسابات متجر Chrome الإلكتروني
متجر كروم الإلكتروني هو القناة الرسمية الوحيدة لنشر الإضافات، وبمجرد اختراق حساب المطور، يمكن للمهاجم تعديل الإضافة ودفعها إلى أجهزة جميع المستخدمين. لذلك، يجب تعزيز أمان الحساب، مثل تفعيل المصادقة الثنائية، واستخدام إدارة الحد الأدنى من الأذونات.
تدقيق دوري
سلامة كود الإضافة هي جوهر مكافحة التلاعب من قبل المشروع، يُنصح بإجراء تدقيق أمني دوري.
مراقبة المكونات الإضافية
يجب على الفريق المشروع أن يضمن أن النسخة الجديدة التي يتم إصدارها آمنة، ويجب أيضًا مراقبة المكونات الإضافية في الوقت الحقيقي للتأكد من عدم تعرضها للاختراق، وإذا تم اكتشاف أي مشكلة، يجب سحب النسخة الضارة في أسرع وقت ممكن، وإصدار إعلان أمان، وإبلاغ المستخدمين بإلغاء تثبيت النسخة المصابة.
كيف تتعامل مع المكونات الإضافية التي تم زرع تعليمات برمجية خبيثة فيها؟
إذا اكتشفت أن المكون الإضافي قد تم إصابته برمز خبيث، أو تشك في أن المكون الإضافي قد يكون له مخاطر، يُنصح المستخدمين باتخاذ التدابير التالية:
إزالة الإضافات على الفور
انتقل إلى صفحة إدارة ملحقات Chrome (chrome://extensions/)، وابحث عن الملحق المتأثر لإزالته.
حذف بيانات الملحق تمامًا لمنع استمرار تشغيل التعليمات البرمجية الضارة المتبقية.
تغيير المعلومات الحساسة التي قد تتسرب
تغيير جميع كلمات المرور المحفوظة في المتصفح، خاصة تلك المتعلقة بتبادلات العملات المشفرة وحسابات البنوك.
إنشاء محفظة جديدة ونقل الأصول بأمان (إذا كان الملحق قد وصل إلى المحفظة المشفرة).
تحقق مما إذا كان مفتاح API قد تم تسريبه، وقم بإلغاء مفتاح API القديم على الفور، وقدم طلبًا للحصول على مفتاح جديد.
مسح النظام، والتحقق من وجود أبواب خلفية أو برامج ضارة
تشغيل برنامج مكافحة الفيروسات أو أدوات مكافحة البرامج الضارة.
تحقق من ملف Hosts وتأكد من أنه لم يتم تعديله إلى عناوين خادم ضارة.
تحقق من محرك البحث الافتراضي وصفحة البداية في المتصفح، حيث يمكن أن تقوم بعض الإضافات الضارة بتعديل هذه الإعدادات.
راقب الحساب بحثًا عن أي نشاط غير عادي
تحقق من تاريخ تسجيل الدخول إلى البورصات وحسابات البنوك، إذا تم اكتشاف تسجيل دخول من IP غير عادي، يجب تغيير كلمة المرور فورًا وتمكين 2FA.
تحقق من سجل معاملات محفظة التشفير، وتأكد مما إذا كان هناك تحويلات غير عادية.
تحقق مما إذا كانت حسابات وسائل التواصل الاجتماعي قد تعرضت للاختراق، وإذا كان هناك أي رسائل أو منشورات غير عادية، يجب تغيير كلمة المرور على الفور.
تقديم الملاحظات إلى السلطات الرسمية لمنع المزيد من المستخدمين من التعرض للأذى
إذا تم اكتشاف أن المكون الإضافي قد تم التلاعب به، يمكنك الاتصال بفريق التطوير الأصلي أو الإبلاغ عنه إلى Chrome الرسمي.
يمكنك الاتصال بفريق الأمان لإصدار تحذير من المخاطر، وتنبيه المزيد من المستخدمين لضرورة الانتباه للأمان.
بينما يمكن أن تعزز إضافات المتصفح تجربة المستخدم، إلا أنها قد تصبح أيضًا نقطة انطلاق لهجمات القراصنة، مما يؤدي إلى مخاطر تسرب البيانات وفقدان الأصول. لذلك، يحتاج المستخدمون إلى البقاء في حالة تأهب أثناء استمتاعهم بالراحة، وتطوير عادات أمان جيدة، مثل الحذر عند تثبيت وإدارة الإضافات، وفحص الأذونات بانتظام، وتحديث أو إزالة الإضافات المشبوهة في الوقت المناسب. في الوقت نفسه، يجب على المطورين والجهات المانحة تعزيز تدابير الحماية الأمنية لضمان سلامة الإضافات وامتثالها. فقط من خلال جهود مشتركة بين المستخدمين والمطورين والمنصات، يمكن تحسين الوعي بالأمان وتنفيذ تدابير الحماية الفعالة، مما يقلل من المخاطر ويضمن أمان البيانات والأصول.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 12
أعجبني
12
5
إعادة النشر
مشاركة
تعليق
0/400
CoffeeNFTrader
· 07-15 14:39
في الصباح عندما رأيت هذا، شعرت بالخوف وسرعت في إزالته، يدي ترتعش.
شاهد النسخة الأصليةرد0
ApeWithNoChain
· 07-15 12:56
الشيطان في التفاصيل لا يمكن أن نكون مهملين
شاهد النسخة الأصليةرد0
MagicBean
· 07-12 16:42
يا إلهي، حتى المكونات الإضافية يمكن أن تتأثر؟؟
شاهد النسخة الأصليةرد0
SerumDegen
· 07-12 16:40
خسرت 12 ألف بسبب اختراق إضافة كروم، يا للأسف
شاهد النسخة الأصليةرد0
ArbitrageBot
· 07-12 16:32
يا إلهي، متجر جوجل لم يعد موثوقًا، احذف، احذف، احذف
إضافة Chrome SwitchyOmega تحتوي على ثغرات أمنية كيف يمكن الوقاية من مخاطر التلاعب بها
توجد ثغرات أمنية في الإضافة المعروفة Chrome SwitchyOmega، كيف يمكن الحماية من تعديل الإضافة؟
مؤخراً، أبلغ المستخدمون عن وجود مخاطر أمنية محتملة بسبب ملحق SwitchyOmega الشهير لتبديل الوكلاء على Chrome، الذي قد يقوم بسرقة المفاتيح الخاصة. بعد التحقيق، تبين أن هذه المشكلة ظهرت منذ العام الماضي، ولكن قد يكون بعض المستخدمين لم ينتبهوا للتحذيرات واستمروا في استخدام النسخة الملوثة من الملحق، مما يعرضهم لخطر تسرب المفاتيح الخاصة واختراق الحسابات. ستقوم هذه المقالة بتحليل حادثة التلاعب بهذه الإضافة، واستكشاف كيفية الوقاية والتعامل مع مخاطر مشابهة.
مراجعة الأحداث
بدأت هذه الحادثة في الأصل نتيجة تحقيق في هجوم. في 24 ديسمبر 2024، تلقى موظف من إحدى الشركات بريدًا إلكترونيًا للتصيد الاحتيالي، مما أدى إلى تضمين الشيفرة الضارة في الإضافات التي تم إصدارها، في محاولة لسرقة ملفات تعريف الارتباط وكلمات المرور الخاصة بالمستخدمين من المتصفح. أظهر التحقيق المستقل أن هناك أكثر من 30 إضافة في متجر إضافات جوجل قد تعرضت لهجمات مشابهة، بما في ذلك Proxy SwitchOmega (V3).
تدعي رسائل البريد الإلكتروني الاحتيالية أن الامتداد الخاص بالمتصفح لشركة ما ينتهك الشروط ذات الصلة من Google، وتهدد بأنه إذا لم يتم اتخاذ إجراء فوري، فسيتم سحب الملحق. بدافع من الإحساس بالعجلة، نقرت الموظف على الرابط الاحتيالي في البريد الإلكتروني ومنحت تطبيق OAuth يسمى "Privacy Policy Extension" الإذن. بمجرد أن يحصل المهاجم على حق الوصول إلى تطبيق OAuth، يمكنه التحكم عن بعد في حساب الضحية، وتعديل بيانات التطبيق دون الحاجة إلى كلمة مرور.
بعد أن حصل المهاجمون على السيطرة على حساب متجر تطبيقات Chrome، قاموا بتحميل إصدار جديد من الإضافة يحتوي على رمز خبيث، واستغلوا آلية التحديث التلقائي في Chrome، مما جعل المستخدمين المتأثرين يقومون بالتحديث إلى الإصدار الضار دون علمهم.
تحتوي المكونات الضارة على ملفين، حيث يتصل ملف worker.js بخادم الأوامر والتحكم، وينزل الإعدادات ويخزنها في التخزين المحلي لـ Chrome، ثم يسجل المستمعين للاستماع إلى الأحداث من content.js. النسخة الضارة تقوم بتنزيل وتثبيت الشيفرة الضارة تلقائيًا في متصفح Chrome الذي يعمل بهذا الامتداد خلال 31 ساعة من الإطلاق.
أشارت تقرير التحقيق إلى أن الإضافات المتأثرة بالهجمات تجاوزت عدد تحميلاتها في متجر جوجل 500,000 مرة، وتم سرقة بيانات حساسة من أكثر من 2.6 مليون جهاز مستخدم، مما يشكل خطرًا كبيرًا على أمان المستخدمين. وقد تم عرض هذه الإضافات المعدلة في متجر التطبيقات لفترة تصل إلى 18 شهرًا، بينما كان من الصعب على المستخدمين الضحايا اكتشاف أن بياناتهم قد تم تسريبها.
نظرًا لأن سياسة تحديث متجر Chrome تدريجيًا لم تعد تدعم الإضافات من الإصدار V2، فإن الإضافة الرسمية الأصلية SwitchyOmega هي من الإصدار V2، وبالتالي تقع ضمن نطاق عدم الدعم. النسخة الضارة الملوثة هي من الإصدار V3، وحساب مطورها مختلف عن حساب الإصدار الأصلي V2. لذلك، لا يمكن تأكيد ما إذا كان هذا الإصدار قد تم إصداره من قبل الشركة الرسمية، ولا يمكن الحكم على ما إذا كان الحساب الرسمي قد تم اختراقه وتحميل إصدار ضار، أو ما إذا كان مؤلف الإصدار V3 لديه سلوك ضار منذ البداية.
يُنصح الخبراء الأمنيون المستخدمين بالتحقق من معرف الإضافات المثبتة، للتأكد مما إذا كانت النسخة الرسمية. إذا تم اكتشاف إضافات متأثرة مثبتة، يجب تحديثها على الفور إلى أحدث إصدار آمن، أو إزالتها مباشرةً، لتقليل مخاطر الأمان.
كيف تمنع تعديل الإضافات؟
لقد كانت ملحقات المتصفح دائمًا نقطة ضعف في أمان الشبكة. لتجنب التلاعب بالملحقات أو تنزيل ملحقات ضارة، يحتاج المستخدمون إلى اتخاذ تدابير أمنية من ثلاثة جوانب: التثبيت والاستخدام والإدارة.
قم بتنزيل الملحقات فقط من القنوات الرسمية
احذر من طلبات إذن الإضافات
التحقق الدوري من المكونات الإضافية المثبتة
استخدام أدوات احترافية لمراقبة تدفق الأموال، لمنع خسارة الأصول
بالنسبة لجهة المشروع، يجب على المطورين والمشرفين على الإضافات اتخاذ تدابير أمنية أكثر صرامة لمنع التلاعب الخبيث، وهجمات سلسلة التوريد، وإساءة استخدام OAuth، وغيرها من المخاطر:
التحكم في وصول OAuth
تعزيز أمان حسابات متجر Chrome الإلكتروني
تدقيق دوري
مراقبة المكونات الإضافية يجب على الفريق المشروع أن يضمن أن النسخة الجديدة التي يتم إصدارها آمنة، ويجب أيضًا مراقبة المكونات الإضافية في الوقت الحقيقي للتأكد من عدم تعرضها للاختراق، وإذا تم اكتشاف أي مشكلة، يجب سحب النسخة الضارة في أسرع وقت ممكن، وإصدار إعلان أمان، وإبلاغ المستخدمين بإلغاء تثبيت النسخة المصابة.
كيف تتعامل مع المكونات الإضافية التي تم زرع تعليمات برمجية خبيثة فيها؟
إذا اكتشفت أن المكون الإضافي قد تم إصابته برمز خبيث، أو تشك في أن المكون الإضافي قد يكون له مخاطر، يُنصح المستخدمين باتخاذ التدابير التالية:
إزالة الإضافات على الفور
تغيير المعلومات الحساسة التي قد تتسرب
مسح النظام، والتحقق من وجود أبواب خلفية أو برامج ضارة
راقب الحساب بحثًا عن أي نشاط غير عادي
تقديم الملاحظات إلى السلطات الرسمية لمنع المزيد من المستخدمين من التعرض للأذى
بينما يمكن أن تعزز إضافات المتصفح تجربة المستخدم، إلا أنها قد تصبح أيضًا نقطة انطلاق لهجمات القراصنة، مما يؤدي إلى مخاطر تسرب البيانات وفقدان الأصول. لذلك، يحتاج المستخدمون إلى البقاء في حالة تأهب أثناء استمتاعهم بالراحة، وتطوير عادات أمان جيدة، مثل الحذر عند تثبيت وإدارة الإضافات، وفحص الأذونات بانتظام، وتحديث أو إزالة الإضافات المشبوهة في الوقت المناسب. في الوقت نفسه، يجب على المطورين والجهات المانحة تعزيز تدابير الحماية الأمنية لضمان سلامة الإضافات وامتثالها. فقط من خلال جهود مشتركة بين المستخدمين والمطورين والمنصات، يمكن تحسين الوعي بالأمان وتنفيذ تدابير الحماية الفعالة، مما يقلل من المخاطر ويضمن أمان البيانات والأصول.