Chrome tarayıcısının eklentilerinde potansiyel açık keşfedildi

Yorumlar

30 Temmuz - 4 Ağustos tarihlerinde Las Vegas’ta gerçekleştirilen güvenlik konferansı Black Hat’de katılımcılar potansiyel saldırı ihtimali taşıyan yazılım ve siteleri hackleyerek ders amaçlı sunumlar yaptılar. Konferanstaki en önemli konulardan birisi Google’ın bazı hizmetlerinde ortaya çıkan kritik açıklar oldu.

İlk önce FusionX mühendisleri Google arama anasayfasını kullanarak fabrikalarda kullanılan SCADA otomasyon sistemini kırmayı başarmışlardı. Son olarak WhiteHat güvenlik firması mühendisleri Matt Johansen ve Kyle Osborn, Chrome Web Store’daki eklentilerde potansiyel açıkların varlığını devam ettirdiğine dair bir sunum gerçekleştirdi.

İkili daha önce ScratchPad adlı tarayıcı üzerinden not alarak Google Docs’a kaydedebilen bir eklentiyi kullanarak çapraz site betik enjeksiyonu ile bir kullanıcının rehberini ve çerezlerini ele geçirmeyi başarmıştı. Bu açık kullanıcının Gmail gibi diğer hesaplarını de ele geçirmeye imkan tanıyordu. Google bir süre önce bu açığı bir yama ile kapatmıştı.

Ancak Johansen ve Osborn Google’ın denetimsiz uygulama kabul etme süreci nedeniyle diğer eklentilerde de benzer açıklara rastladıklarını belirtti. Ayrıca bu sistemin Chrome OS’de de olması potansiyel saldırılara davetiye çıkarıyor.

Bir Google sözcüsü bu açıklamaların web ile ilgili olduğunu ve Chrome OS ile ilgili olmadığını açıkladı. Sözcüye göre Chrome OS dikkatli dizayn edilmiş eklenti modeli ve gelişmiş güvenlik seçenekleriyle üst düzey bir koruma sunuyor ve uzmanların bile takdirini kazanmış durumda.