Kısaca: Chrome Web Mağazası’ndaki kötü amaçlı uzantı sorunu ne kadar kötü? Bu kime inandığınıza bağlıdır. Google ise tüm yüklemelerin %1’inden azının kötü amaçlı yazılım içerdiğini söylüyor. Ancak bir grup üniversite araştırmacısı, üç yıllık bir süre içinde 280 milyon kişinin kötü amaçlı yazılım bulaşmış bir Chrome uzantısı yüklediğini iddia ediyor.
Google geçen hafta, 2024 yılında, şu anda 250.000’den fazla uzantı içeren Chrome Web Mağazası’ndaki tüm yüklemelerin %1’inden azının kötü amaçlı yazılım içerdiğinin tespit edildiğini söyledi. Şirket, güvenlik geçmişiyle gurur duysa da bazı kötü uzantıların hâlâ geçebildiğini, bu nedenle yayınlanan uzantıları da izlediğini ekledi. Güvenlik ekibi, “Her yazılımda olduğu gibi uzantılar da risk oluşturabilir” diye yazdı.
Bu sayılara kesin bir rakam verenler, Stanford Üniversitesi’nden araştırmacılar Sheryl Hsu, Manda Tran ve Aurore Fass ile CISPA Helmholtz Bilgi Güvenliği Merkezi’ydi.
Bir araştırma makalesinde ortaya çıktığı gibi üçlü, Chrome mağazasında Güvenlik Açısından Dikkate Değer Uzantıları (SNE) inceledi. SNE’ler, kötü amaçlı yazılım içeren, Chrome Web Mağazası politikasını ihlal eden veya güvenlik açığı bulunan kod içeren bir uzantı olarak tanımlanır.
Temmuz 2020 ile Şubat 2023 arasında 346 milyon kullanıcının SNE yüklediği tespit edildi. 63 milyonu politika ihlali ve 3 milyonu savunmasız durumdayken, bu Chrome uzantılarının 280 milyonu kötü amaçlı yazılım içeriyordu. O zamanlar Chrome Web Mağazası’nda neredeyse 125.000 uzantı mevcuttu.
Araştırmacılar, güvenli Chrome uzantılarının genellikle mağazada çok uzun süre kalmadığını, bir yıl sonra yalnızca %51,8 – 62,9’unun hala mevcut olduğunu buldu. Öte yandan SNE’ler mağazada ortalama 380 gün (kötü amaçlı yazılım) ve savunmasız kod içerdikleri takdirde 1.248 gün kaldı.
Hayatta kalan en uzun SNE olan TeleApp, 8,5 yıl boyunca mevcuttu, en son 13 Aralık 2013’te güncellendi ve 14 Haziran 2022’de kaldırıldığında kötü amaçlı yazılım içerdiği tespit edildi.
Bir uygulamanın veya uzantının kötü amaçlı olup olmadığını belirlemek için sıklıkla kullanıcı derecelendirmelerini kontrol etmemiz tavsiye edilir, ancak araştırmacılar bunun SNE’ler durumunda yardımcı olmadığını buldu.
Yazarlar, “Genel olarak kullanıcılar SNE’ye daha düşük puanlar vermiyor, bu da kullanıcıların bu tür uzantıların tehlikeli olduğunun farkında olmayabileceğini gösteriyor” diye yazdı. “Elbette botların bu uzantılara sahte incelemeler ve yüksek puanlar vermesi de mümkün. Ancak SNE’lerin yarısının hiç incelemesi olmadığı göz önüne alındığında, bu durumda sahte inceleme kullanımının yaygın olmadığı görülüyor.”
Google, özel bir güvenlik ekibinin kullanıcılara yükledikleri uzantıların kişiselleştirilmiş bir özetini sağladığını, uzantıları mağazada yayınlanmadan önce incelediğini ve yayınlandıktan sonra da sürekli olarak izlediğini söylüyor. Araştırmacılar, Google’ın uzantıları kod benzerlikleri açısından da izlediğini öne sürüyor.
Raporda, “Örneğin, yaklaşık 1.000 uzantı açık kaynaklı Extensionizr projesini kullanıyor; bunların yüzde 65 ila 80’i hala altı yıl önce araçla birlikte paketlenmiş olan varsayılan ve savunmasız kitaplık sürümlerini kullanıyor.” Ayrıca, güvenlik açıkları ortaya çıktıktan sonra uzantıların mağazada kalması nedeniyle bakım eksikliğine de dikkat çektiler.