نوشته‌ها

بهبود امنیت افزونه‌های کروم در نسخه جدید

بهبود امنیت افزونه‌های کروم در نسخه جدید

همزمان با عرضه نسخه ۷۰ مرورگر کروم، گوگل امنیت افزونه های این مرورگر را بهبود بخشیده است. البته فعلا تنها نسخه پیش نمایش مرورگر مذکور عرضه شده است.

بهبود امنیت افزونه‌های کروم در نسخه جدید

علاوه بر این قوانین تازه ای برای همکاری توسعه دهندگان با گوگل و استفاده از امکانات مرورگر کروم وضع شده است که بر اساس آن کاربران می توانند مشخص کنند کدام یک از وب سایت ها می توانند از طریق افزونه ها در دسترس باشند.

مشخص شدن این مساله جلوی سوءاستفاده از امنیت و حریم شخصی کاربران را می‌گیرد و مانع از سرقت اطلاعات خصوصی کاربران در زمان استفاده از افزونه‌ها در وب سایت‌های مختلف می‌شود. بر همین اساس کاربران تنها با یک کلیک نحوه دسترسی افراد به افزونه‌ها را مدیریت می‌کنند.

از این به بعد فروشگاه وب استور کروم نیز به روز می‌شود تا برنامه‌هایی که معیارهای ضروری را رعایت نکنند و امنیت لازم را نداشته باشند به سرعت از آن حذف شوند. گوگل امیدوار است با این تغییرات اعتماد به افزونه‌ها بیشتر شده و استفاده از آنها گسترش یابد.

نفوذ هکرها به افزونه HolaVPN در مرورگر کروم

اخیرا یک هکر به حساب کاربری یک توسعه‌دهنده Hola VPN نفوذ کرده است و افزونه رسمی HolaVPN در مرورگر کروم را با افزونه‌ای جایگزین کرده است که کاربران سایت MyEtherWallet.com را به یک صفحه فیشینگ منتقل می‌کند.

نفوذ هکرها به افزونه HolaVPN در مرورگر کروم

به گفته تیم (MyEtherWallet (MEW این نفوذ در تاریخ ۱۸ تیرماه اتفاق افتاد و جابجایی تنها برای پنج ساعت انجام شد. تیم HolaVPN نیز این هک را تایید کرده است.

به گفته تیم HolaVPN، حمله به گونه‌ای برنامه‌ریزی شده بود تا یک تگ جاوااسکریپت به سایت MEW تزریق شود تا از طریق آن کاربران MEW به وبسایت فیشینگ هکر منتقل شوند. با این کار مهاجم اطلاعات حساب‌های کاربری MEW را بدست می‌آورد.

توسعه‌دهندگان Hola اعلام کردند که آنها MEW و گوگل را از این نفوذ آگاه و اطمینان حاصل کرده‌اند که سایت هکر غیرفعال شده باشد.

نسخه بدون مشکل افزونه HolaVPN اکنون بازیابی شده است و در فروشگاه کروم در دسترس است.

تیم Hola نحوه دسترسی هکر به حساب توسعه‌دهنده فروشگاه کروم خود را گزارش نکرده است، اما توسعه‌دهندگان افزونه‌های مرورگر کروم از سال گذشته در معرض حملات فیشینگ بوده‌اند.

تیم MEW به کاربران این افزونه توصیه کرده است که برای امنیت بیشتر، ارزهای دیجیتالی خود را به حساب MEW جدیدی منتقل کنند.

افزونه‌های مرورگر کروم، در صورت انتشار نسخه جدید، به طور خودکار در پس‌زمینه بروزرسانی می‌شوند. تنها کاربرانی که بروزرسانی مخرب افزونه کروم HolaVPN را دریافت کرده‌اند و کاربرانی که در تاریخ ۱۸ تیر (۹ جولای) به وبسایت MyEtherWallet.com مراجعه کرده‌اند، در خطر هستند.

این حمله اولین مورد نفوذ به سرویس MyEtherWallet نیست. در آوریل سال جاری، یک مهاجم یکی از مسیرهای بسیار مهم BGP آمازون را به سرقت برد و توانست DNSهای وبسایت MyEtherWallet را برباید و کاربران را به یک سایت فیشینگ منتقل کند. هکرها در این حمله بیش از ۱۶۰ هزار دلار بدست آوردند. میزان ارز دیجیتالی که هکرها در حمله به افزونه HolaVPN بدست آوردند، مشخص نیست.