Kullanıcı tarama verilerini toplayan 287 Chrome uzantısı tespit edildi

 (qcontinuum.substack.com)
4 puan yazan GN⁺ 2026-02-12 | 1 yorum | WhatsApp'ta paylaş
  • Otomatikleştirilmiş MITM (ortadaki adam saldırısı) tabanlı tarama hattı ile 287 Chrome uzantısının kullanıcıların tarama geçmişini dışarı aktardığı tespit edildi
  • Bu uzantılar toplamda yaklaşık 37,4 milyon kez kurulmuş durumda; bu da dünya genelindeki Chrome kullanıcılarının yaklaşık %1’ine karşılık geliyor
  • Veri sızdırma faaliyetlerine Similarweb, Curly Doggo, Offidocs, Big Star Labs gibi büyük veri broker’ları ile çok sayıda küçük şirketin dahil olduğu görüldü
  • Analiz sonucunda bazı uzantıların URL verilerini gizleyerek iletmek için ROT47, AES‑256, LZ‑string gibi şifreleme teknikleri kullandığı ortaya çıktı
  • Bu durum, basit bir gizlilik ihlalini aşarak kurum içi ağlar ve yönetim konsolu URL’lerinin açığa çıkması gibi güvenlik risklerine yol açabilecek ciddi bir tehdit oluşturuyor

Otomatik tarama hattının kurulması

  • Araştırma ekibi, Docker ortamındaki Chrome tarayıcısını bir MITM proxy ile sarmalayarak, URL uzunluğuna göre çıktı trafiği korelasyonunu ölçen otomatik bir sistem kurdu
    • URL uzunluğuyla orantılı olarak aktarım miktarı artıyorsa, ilgili uzantının URL’yi dışarı gönderdiği sonucuna varıldı
  • Tarama iki aşamada gerçekleştirildi ve toplamda 930 CPU-günü harcandı
    • İlk aşamada 4 URL uzunluğu test edildi; şüpheli oran (0.1 ≤ R < 1.0) tespit edilirse 6 ek uzunlukla yeniden doğrulama yapıldı

Veri sızıntısının tespiti ve analizi

  • 287 uzantının tarama geçmişini harici sunuculara gönderdiği doğrulandı
  • Bu uzantıların toplam kurulum sayısı yaklaşık 37,4 milyon, yani dünya genelindeki Chrome kullanıcılarının yaklaşık %1’i ölçeğinde
  • Sızdırılan veriler Similarweb, Curly Doggo, Offidocs, Big Star Labs gibi taraflara iletiliyor; bunların bir kısmı daha sonra Kontera scraper’ı üzerinden yeniden toplanıyor
  • Honeypot sunucusu çalıştırılarak gerçek veri toplama IP’leri izlendi ve sonuçta HashDit, Blocksi AI Web Filter, Kontera dahil 5 ana IP bloğunun tekrar tekrar eriştiği görüldü

Başlıca aktörler ve bağlantılar

  • OSINT analiziyle her uzantının geliştirici e-postası, gizlilik politikası ve sertifika bilgileri incelendi
  • Similarweb’in “Similar Sites” uzantısının Kontera scraper’ı ile Curly Doggo ve Offidocs’a bağlı olduğu doğrulandı
  • Big Star Labs, Similarweb ile aynı kod kalıplarını paylaşıyor ve aynı organizasyon olma ihtimali yüksek görünüyor

Öne çıkan sızıntı örnekleri

  • Poper Blocker: URL’leri ROT47 ile karartıp api2.poperblocker.com adresine gönderiyor
  • Stylish: URL’leri AES‑256 ve RSA açık anahtar şifrelemesiyle şifreleyip userstylesapi.com adresine gönderiyor
  • BlockSite ve Video Ad Blocker Plus: URL’leri LZ‑string UTF16 sıkıştırmasıyla gönderiyor ve aynı veri şemasını kullanıyor
  • Similarweb: Çok katmanlı URL kodlaması uygulanmış tarama verilerini rank.similarweb.com adresine iletiyor
  • WOT (Web of Trust): URL’leri XOR tabanlı özel bir kodlamayla şifreliyor; yapı olarak Similarweb ile aynı
  • Smarty, CrxMouse, ApkOnline, Knowee AI, Super PiP ve diğerleri de URL parametreleri, header’lar, Google Analytics API vb. yollarla veri aktarıyor

Tehdidin boyutu ve etkisi

  • Yaklaşık 37,4 milyon kullanıcı, yani Polonya nüfusu ölçeğinde bir kullanıcı kitlesi etkilendi
  • Bazı uzantıların işlev gereği tarama geçmişine erişmesi gerekebilir, ancak birçoğu açık rıza olmadan veri topluyor
  • Sızdırılan veriler reklam hedefleme, kurumsal casusluk ve oturum ele geçirme gibi amaçlarla kötüye kullanılabilir
    • Özellikle kurumsal ortamlarda “verimlilik artırıcı” uzantılar kullanan çalışanlar için iç URL’lerin açığa çıkması riski bulunuyor

Sonuç ve uyarı

  • Analiz edilen uzantıların önemli bir bölümü tespitten kaçmak için kasıtlı şifreleme ve gizleme teknikleri kullanıyor
  • Bu durumun basit bir hata değil, veri toplamaya dayalı bir iş modeli olduğu değerlendiriliyor
  • Ücretsiz olsa da açık kaynak olmayan yazılımlarda kullanıcının kendisi ‘ürün’ hâline gelebilir gerçeği unutulmamalı
  • Chrome uzantısı kurarken izinlerin incelenmesi ve kaynağın doğrulanması kritik önem taşıyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-12
Hacker News yorumları

  • Yaklaşık 15 yıl önce yalnızca belirli bir işlev yapan bir Chrome uzantısı yapmıştım ve epey popüler olmuştu
    Birkaç bin dolara satıp unutmuştum; şimdi dönüp bakınca, kötü niyetli kişilerin bu tür meşru uzantıları satın alıp kullanıcı verisinden para kazandığı örüntü çok net görünüyor
    Buna benzer birçok vakayı bizzat gördüm

    • 10 yılı aşkın süredir popüler bir çapraz tarayıcı uzantısı sürdürüyorum ve gelir elde etme teklifleri hiç bitmiyor
      İlgili tartışmalar GitHub tartışmasında derlenmiş durumda
    • Bu, tipik bir tedarik zinciri saldırısı (supply-chain attack)
      Oyuncuların yüksek seviyeli karakter satmasına ya da sosyal medya hesaplarının el değiştirmesine benziyor
      Artık güvenliğin yeni cephesi tarayıcı uzantıları, bulut entegrasyonları ve uygulama erişim izinleri gibi alanlar
      Gmail veya Google Drive için tam erişimi herhangi bir uygulamaya verirseniz fidye yazılımına maruz kalabilirsiniz
      Yerel işletim sisteminde hiçbir iz bırakmaz ve antivirüs tarayıcıları da bunu yakalayamaz
      Güvenlik denetim süreçleri o kadar zahmetli ki erişimleri tek tek kaldırmak işkenceye dönüşüyor
      Daha iyi bir yönteme ihtiyaç var
    • 15 yıl önce bu tür alım satımlar muhtemelen daha yeni başlıyordu
      Uzantı satışını tamamen engellemek mümkün olmasa da Chrome Web Store’un doğrulama süreci güçlendirilmeli
    • Satıcının kötü niyeti olmasa bile, satıştan sonra ortaya çıkan sorunlarda bir miktar hukuki sorumluluğu olmalı diye düşünüyorum
      Ancak bu sorumluluk bireyler tarafından değil, mağaza işletmecisi tarafından yönetilmeli

  • Güvendiğiniz bir uzantı kötü amaçlı hale geldiğinde kendinizi nasıl koruyabileceğinize dair bazı yöntemler derledim

    • Güncellemeleri izlemek ve sahiplik değişip değişmediğini kontrol etmek için Extensions Update Notifier kullanıyorum
    • Brave tarayıcısında brave://flags/#brave-extension-network-blocking özelliğiyle trafik filtreleme kurallarını doğrudan ayarlayabilirsiniz
    • GitHub deposunu clone edip Claude Code ile güvenlik incelemesi yapmak, ardından kendiniz derleyip güncellemeleri elle uygulamak da bir yöntem
      • Bunun gerçekten iyi bir yaklaşım olduğunu düşünüyorum
        Acaba uzantı kod tabanını deterministik olarak denetleyebilen araçlar var mı diye merak ediyorum

  • Ben yalnızca açık kaynak uzantılar kullanıyorum
    Kodun açık olduğu ve geliştiricinin anonim olmadığı uBlock Origin, SponsorBlock gibi uzantılara güveniyorum
    Chrome Web Store fiilen düzenlemesiz bir pazar ve Google sadece gelirini topluyor
    Açık kaynak, kurulumdan önce kodu bizzat inceleyebilmek için eldeki en temel güvenlik önlemi

    • Güvenilir ve anonim olmayan bir geliştiricinin açık kaynak uzantısı iyi bir işaret, ancak dağıtılan paketin açık koddaki sürümle tamamen aynı olduğunun garantisi yok
      Bu durum pip, npm, rpm gibi diğer açık kaynak dağıtım kanalları için de geçerli
    • O halde kurulu uzantı kodunun herkese açık kodla birebir aynı olduğunu nasıl doğrulayabileceğimizi merak ediyorum
    • Bu yüzden Tampermonkey’nin açık kaynak olmaması üzücü görüşü dile getiriliyor
      İlgili tartışma GitHub tartışmasında yer alıyor
    • Her şeyi tek tek denetlemek mümkün olmadığı için, güvenilir kurumların doğrulama sistemi gerekli diye düşünüyorum
      “Google’a güvenmeyelim” demektense “sistemi iyileştirelim” daha gerçekçi bir yaklaşım
    • Otomatik güncellemeleri kapatıp sürüm kilitleme (version lock) yapmak da daha güvenli olabilir
      Firefox ve Safari, Chrome’a kıyasla bu tür ayarlar için daha elverişli

  • Çoğu uzantının kodu obfuscate edilmiş olsa da kaynak kodunu herkes görebilir
    Bunun yöntemi bu bağlantıda anlatılmış
    Ben de yaklaşık 2 bin kişinin kullandığı küçük bir uzantıyı sürdürüyorum ve onu kötü amaçlı koda dönüştürmek için satın alma teklifleri sık sık alıyorum
    Örnek olarak One Click Image Saver veriliyor

  • İlkokula giden kızım okulda Chromebook üzerinden Google Classroom kullanıyor, ama uzantılar üzerinde neredeyse hiç kısıtlama yok
    Chrome her girişte “uzantı kötü amaçlı etkinlik nedeniyle kaldırıldı” şeklinde bir bildirim gösteriyor

    • Kızım, bir uzantının kamerayı ya da arama geçmişini çalabileceğini fark etmiyor olabilir
      Bu yüzden en iyisinin sadece açık kaynak uzantılar kullanmak ya da kendin yapmak olduğunu düşünüyorum
      Basit bir ihtiyaçsa Tampermonkey ile kendin yazabilir, kodu da kendin inceleyebilirsin
      Ben de artık uzantıların çoğunu kendim yapıyorum
      Tampermonkey, kodu düzenleme ve inceleme açısından çok pratik; ayrıca yapay zeka araçlarıyla güvenlik kontrolü yapmak da kolay

  • Ben tüm yazılımlarda otomatik güncellemeleri devre dışı bırakıyorum
    “Hemen güncellemezsen hacklenirsin” söylemi bir yanılsama
    Hatta güncellemeden sonra hacklenme ihtimalinin daha yüksek olduğunu hissediyorum

    • Sonuçta güncellesen de güncellemesen de riskli bir durum var

  • Güvenilmeyen uzantıların bir gün satılıp kötü amaçlı koda dönüşme ihtimali yüksek
    Bu yüzden ben yalnızca uBlock Origin yüklüyorum

    • Ben de 100 binden fazla kişinin kullandığı bir uzantıyı sürdürüyorum ve yüzlerce satış teklifi e-postası alıyorum
      Hepsi Google’ın zorunlu tuttuğu herkese açık e-posta adresine geliyor
      Buna karşılık gerçekten faydalı tek bir e-posta bile gelmedi
      Bu yüzden ben de yalnızca uBlock Origin, Bitwarden ve kendi yaptığım uzantılara güveniyorum
      Örnek: Old Reddit Redirect
    • Ben de sadece uBlock Origin kullanıyorum
      Eskiden Tree Style Tab kullanırdım ama Firefox artık dikey sekme özelliğini yerleşik olarak desteklediği için buna gerek kalmadı
      Yeni bir uzantı kurmak fazla riskli
    • Bu arada uBlock Origin’in öncülü olan uBlock projesi bir dönem güvenilmez bir kişinin eline geçmişti
      Geliştirici Raymond Hill daha sonra bunu yeniden fork’layarak bugünkü sürümü oluşturdu

  • Pek çok uzantı, "u": "https://www.google.com/search?q=target"; gibi arama sorgularındaki URL parametrelerini topluyor
    Bu, yalnızca gezinme geçmişinin değil, kimlik doğrulama token’larının da ele geçirilebileceği anlamına geliyor

    • Eğer bir hizmet kimlik doğrulama token’ını URL parametresi olarak gönderiyorsa, o hizmeti zaten kullanmamak gerekir
      Böyle token’lar her zaman ifşa edilmiş durumdadır

  • Dünyanın en zengin şirketlerinden biri olan Google’ın neden bu sorunu bizzat çözmediği sorgulanıyor
    Reklam engelleyicileri engellemek için bu kadar uğraşırken, buna göz yumuluyor

    • Belki de Google bu sorunu zaten biliyordu
      O zaman daha önemli soru “neden bunu açıklamadı” oluyor

  • macOS’ta yüklü tüm Chrome uzantı kimliklerini listeleyen komut paylaşılıyor

    find "$HOME/Library/Application Support/Google/Chrome" \
  -type d -path "*/Extensions/*" -not -path "*/Extensions/*/*" \
  -print 2>/dev/null | sed 's#.*/Extensions/##' | sort -u

    Çıktıyı kötü amaçlı uzantı listesiyle karşılaştırabilirsiniz