گوگل کوشید تا یک افزونه مخرب کروم را پس از اینکه یک حساب کاربری توییتر محبوب این مسئله را بهصورت عمومی انتشار داد از فروشگاه خود و دستگاههای کاربران حذف کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، این حادثه یک روز بعد، زمانی دوباره شروع شد که توسعهدهندگان دو افزونه مشکوک را کشف کردند که توانستهبودند قبل از اینکه حذف شوند راهکارهای دفاعی گوگل را دور بزنند.
حساب کاربری Swift on Security که در توییتر محبوب است، روز سهشنبه گفت یک افزونه کروم مخرب به نام اَدبلاک پلاس وجود دارد که تاکنون ۳۸ هزار مرتبه بارگیری شده و هنوز هم در فروشگاه وب کروم موجود است. این افزونه حداقل از ۲۲ سپتامبر در دسترس بوده و از ۱۲ کلمه کلیدی برای جذب کاربران به صفحه اصلی فروشگاه وب کروم استفاده کردهاست.
گوگل روز دوشنبه یک بهروزرسانی به انجمن کرومیوم ارسال کرد و گفت: «پس از بررسی دقیقتر این مسئله، متوجه شدیم که تعدادی از نمونههای مشابه این پویش نیز شناسایی شدهاند که سامانههای ما با موفقیت مانع از دسترسی آنها به کاربران شدهاند. این برنامه توانسته از طریق حفرهها عبور کند، اما ما توانستیم علت را شناسایی کرده و آن را وصله کنیم.»
روز چهارشنبه که حساب کاربری Swift on Security درباره دو افزونه اَدبلاک پلاس در فروشگاه پست گذاشت، یک نفر به اشتباه ادعا کرد که این افرونه بیش از ۱۰ میلیون مرتبه بارگیری شدهاست. Swift on Security گفت استفاده این توسعهدهنده از نویسههای یونیکد سیریلیک در نام افزونه به افزونههای مخرب اجازه میدهد تا دوباره راهکارهای مسدود کردن بدافزار در گوگل را دور بزند و افزود: «تا وقتی که نتوانیم این وضعیت را مدیریت کنیم، ما باید استفاده از یونیکد را متوقف کنیم.» ماه آوریل شرکت گوگل، کروم ۵۸ را بهروزرسانی کرد که شامل یک وصله برای آسیبپذیری پانیکد بود که با استفاده از دامنههای یونیکد حملات فیشینگ را ساده میکرد. یک محقق چینی در ماه ژانویه به طور محرمانه این مسئله را به گوگل گزارش داد. تحقیقات او روی استفاده از نویسههای یونیکد برای نمایش الفبای سیریلیک و یونان به منظور تقلید از نویسههای لاتین و فریب کاربران به اینکه در یک دامنه قانونی هستند، تمرکز دارد.
در ماه سپتامبر، محقق آنکیت انوبهاو کشف کرد که مهاجمان یک تروجان بتابات را بهوسیله یک دامنه مشابه ادوبی به نام «adoḅe[.]com» توزیع میکنند (به «b» توجه کنید). این دامنه به سمت یک بارگیری فلشپلیر جعلی هدایت میشد که به جای آن بدافزار را توزیع میکرد. انوبهاو درباره شیوهای که IDN یا حمله همگرای «نام دامنه بینالمللیشده» گفت: «این یک تلاش خوب است. بعضیها زمان خود را برای ایجاد یک چیز جعلی خوب، صرف میکنند.» گوگل روز دوشنبه گفت که در عرض چند دقیقه پس از آگاهسازی اولیه، این مشکل را رفع کرده و افزونه مخرب را از فروشگاه وب کروم و دستگاههای کاربران حذف کردهاست. روز سهشنبه در عرض دو ساعت، این شرکت کار مشابهی را برای موج دوم افزونههای جعلی انجام داد.
گوگل گفت: «ما میخواستیم اذعان کنیم که میدانیم این مسئله فراتر از یک برنامه واحد است. ما نمیتوانیم راهحلهایی که در نظر گرفتهایم را بهصورت عمومی اعلام کنیم، زیرا در صورت افشای اطلاعات، مهاجمان میتوانند از آنها در جهت دور زدن روشهای مبارزه با سوءاستفاده ما به کار گیرند، اما ما میخواهیم این را به جامعه اطلاع دهیم که ما روی آن کار میکنیم و همچنان در تلاشایم تا راهکارهای حفاظتی خود را بهبود بخشیم و کاربران خود را از برنامهها و افزونههای کروم مخرب ایمن نگه داریم.»