Chrome Kötü Amaçlı Uzantı Tehlikesi: Aramalarınız Casuslara mı Ulaşıyor?

Son dönemde ortaya çıkan bir Chrome kötü amaçlı uzantı, dijital güvenliğimiz için ciddi bir tehdit oluşturuyor. Yapay zeka arama motoru Perplexity’i taklit eden bu uzantı, milyonlarca kullanıcının arama sorgularını ve adres çubuğu girişlerini sessizce kaydetti.
Tehdidin Perde Arkası: Nasıl Çalıştı?
Kullanıcıların dikkatini çekmek için tasarlanmış “Search for perplexity ai” adlı uzantı, aslında siber korsanların karanlık bir tuzağıydı. Kimliği flkebkiofojicogddingbdmcmkpbplcd olan bu yazılım, meşru perplexity.ai hizmetini taklit etmek amacıyla perplexity-ai[.]online gibi sahte bir alan adını kullandı. Peki, sıradan bir arama motoru uzantısı görünümlü bu araç, kişisel verilerinize nasıl erişebildi?
Uzantı yüklendikten sonra, tarayıcının varsayılan arama motoru olarak kendini ayarlıyordu. Kullanıcı bir arama yaptığında, sorgu doğrudan saldırganın kontrolündeki sunucuya (perplexity-ai[.]online) gönderiliyordu. Burada, kullanıcının tarayıcı başlıkları, IP adresi ve kullanıcı aracısı bilgileriyle birlikte sorgu kaydediliyordu. Daha sonra, hiçbir şey olmamış gibi, gerçek bir arama motoruna (Perplexity, Google veya Bing) yönlendirme yapılıyor, böylece kullanıcılar normal arama sonuçlarını görüyordu.
Asıl veri hırsızlığı, yönlendirme gerçekleşmeden önceki bu ilk durakta yaşanıyordu. Sadece tamamlanmış aramalar mı risk altındaydı? Hayır. Uzantı, tarayıcının canlı arama önerileri (suggest_url) için de aynı saldırgan alan adını işaret ediyordu. Bu, kullanıcıların bir kelimeyi henüz tamamlamadan, adres çubuğuna yazdığı her karakterin saldırganın sunucusuna iletildiği anlamına geliyordu. Yani, enter tuşuna basmadan çok önce, özel bilgileriniz sızdırılmış oluyordu. Bu denli kapsamlı bir veri toplama, kullanıcı gizliliğini tamamen ihlal etmiyor mu?
Tarayıcılar, yasal uzantıların arama sağlayıcılarını değiştirmesine izin verir, ancak trafiği yeniden yönlendirmek ve sunucu tarafında her isteği kaydetmek, bir arama kutusunun asla yapmaması gereken işlemlerdir. Bu uzantı, manipülasyonları gerçekleştirmek için declarativeNetRequest izin grubunu talep ediyordu. Dahası, devre dışı bırakılmış Google ve Bing yönlendirme kuralları da içeriyordu, bu da aynı kötü niyetli düzenin diğer arama motorları için de kolayca devreye alınabileceğini gösteriyordu. Basit bir arama aracı neden daha sonra WebAssembly kodu çalıştırmak için altyapı barındırsın ki?
Veri Hırsızlığının Boyutları ve Teknik Detaylar
Bu Chrome kötü amaçlı uzantı, sadece arama sorgularınızı değil, dijital ayak izinizin önemli bir kısmını hedef alıyordu. Microsoft’un Defender araştırma ekibi, uzantının özellikle arama trafiğini ele geçirme ve veri toplama amacı güttüğünü belirtiyor. Her ne kadar parola hırsızlığına dair doğrudan bir kanıt bulunamamış olsa da, bir arama kutusunun ihtiyaç duyduğundan çok daha fazla erişim yetkisi talep etmesi, durumu açıkça ortaya koyuyor. Bu tip yetki talepleri, kullanıcıların uzantıları yüklerken neden daha dikkatli olmaları gerektiğini gösteren çarpıcı bir örnek değil midir?
Saldırganlar, topladıkları verilerle ne yapabilirdi? IP adresleri, tarayıcı başlıkları ve kullanıcı aracısı bilgileri, bir kullanıcının konumunu, işletim sistemini, tarayıcı türünü ve hatta bazen internet servis sağlayıcısını belirlemek için kullanılabilir. Bu, hedefli reklamcılıktan kimlik avı saldırılarına kadar geniş bir yelpazede kötü niyetli faaliyetlere zemin hazırlayabilir. Ayrıca, belirli bir kullanıcının arama alışkanlıkları, kişisel tercihleri ve ilgi alanları hakkında detaylı profiller oluşturulmasına olanak tanır. Elde edilen bu veriler, dijital pazarlamanın ötesinde, daha ciddi siber suçlar için de kullanılabilir.
Uzantının kullandığı declarativeNetRequest izinleri, ağ isteklerini engelleme, değiştirme ve yeniden yönlendirme yeteneği sağlıyor. Bu, saldırganların kullanıcı trafiğini kendi sunucularına yönlendirmesine ve orada kayıt altına almasına olanak tanıyan temel mekanizmaydı. Microsoft, sunucu tarafında kodla her isteğin kaydedilmesinin, bu toplamanın kasıtlı olduğunun açık bir kanıtı olduğunu vurguluyor, yani bu durum bir yönlendirmenin yan etkisi değildi. Bu türden gizli veri toplama operasyonları, dijital ekosistemin kırılganlığını gözler önüne seriyor.
Daha da endişe verici olan, uzantının gelecekteki potansiyel kötü niyetli faaliyetlere de zemin hazırlamış olmasıdır. İçerdiği WebAssembly kodunu çalıştırma kapasitesi, daha karmaşık saldırı vektörlerinin veya yeni kötü amaçlı işlevlerin uzaktan etkinleştirilebileceği anlamına geliyor. Bu, siber güvenlik dünyasında sıklıkla görülen, başlangıçta masum görünen bir uygulamanın zamanla daha tehlikeli bir araca dönüşme potansiyelini taşıdığını gösteriyor. Güvenilir olmayan bir kaynaktan gelen bir uzantıyı yüklemek, aslında kapıları ardına kadar açmakla eşdeğer midir?
Türkiye’deki Kullanıcılar İçin Riskler ve Genel Eğilimler
Siber saldırılar coğrafi sınırlar tanımazken, Türkiye’deki internet kullanıcıları da bu tür kötü amaçlı uzantılardan ciddi şekilde etkilenebilir. Özellikle yapay zeka popülaritesinin artmasıyla birlikte, “AI” etiketli araçlara olan ilgi, güvenlik açıklarını istismar etmek isteyen saldırganlar için cazip bir hedef oluşturuyor. Türk şirketleri ve bireysel kullanıcılar, genellikle İngilizce tabanlı bu tür uzantıları, sunduğu yenilikçi özellikler beklentisiyle kurma eğiliminde olabiliyorlar. Bu durum, yerel dijital ekosistemde ciddi zafiyetler yaratabilir mi?
Geçmişte de benzer kötü amaçlı uzantı dalgaları yaşandı. Bazıları varsayılan arama motorunu değiştirerek yazılanları yakalarken, diğerleri tarayıcı sağlayıcısını ele geçiriyor ya da ChatGPT ve DeepSeek gibi sohbet botlarındaki konuşmaları dahi gizlice okuyordu. Microsoft’un kendi araştırması, bu sohbet okuyucu dalgasının 20.000’den fazla şirket ağında yaklaşık 900.000 kuruluma ulaştığını ortaya koymuştu. Bu yeni olaydaki fark ise hedefte yatıyor: Yapay zeka sohbetleriniz değil, doğrudan arama geçmişiniz ve adres çubuğuna yazdığınız her harf, Chrome’un kendi uzantı mekanizması aracılığıyla toplanıyordu.
Türkiye’deki küçük ve orta ölçekli işletmeler (KOBİ’ler), büyük kurumsal yapılara kıyasla genellikle daha az katı siber güvenlik politikalarına sahip olabilirler. Çalışanların farkında olmadan yüklediği bu tür uzantılar, şirket verilerinin sızdırılmasına veya kurumsal ağlara sızılmasına yol açabilir. Bu durum, veri güvenliği eğitimi ve bilinçlendirme kampanyalarının ne denli elzem olduğunu bir kez daha gösteriyor. Ulusal siber güvenlik stratejileri, bu küresel tehditlere karşı yerel kullanıcıları nasıl daha iyi koruyabilir?
Bu olay, yapay zeka furyasının getirdiği yeniliklerin yanı sıra, beraberinde getirdiği güvenlik risklerini de net bir şekilde ortaya koyuyor. Kullanıcılar, bir uzantının popülaritesine veya sunduğu cazip özelliklere aldanmadan önce, yayıncısının kimliğini, istenen izinleri ve domain adresini dikkatlice incelemelidir. Dijital çağda bilgiye ulaşım ne kadar kolaylaşsa da, bu bilginin güvenliğini sağlamak için gösterilmesi gereken çaba da o denli artıyor. Unutulmamalıdır ki, dijital dünyada hiçbir hizmet tamamen ücretsiz değildir; bedeli genellikle kişisel verilerinizle ödenir.
“Siber güvenlikte en zayıf halka genellikle teknolojinin kendisi değil, insan faktörüdür. Bir uzantıyı yüklerken gösterilen dikkatsizlik, tüm bir ağın güvenliğini tehlikeye atabilir.”
Peki Bu Chrome Kötü Amaçlı Uzantı ile Ne Yapmalısınız?
Eğer “Search for perplexity ai” uzantısını tarayıcınıza yüklediyseniz, derhal harekete geçmeniz gerekiyor. İlk adım olarak, bu uzantıyı Chrome tarayıcınızdan kaldırmalısınız. Uzantıyı kaldırdıktan sonra, tarayıcınızın varsayılan arama motorunun değiştirilip değiştirilmediğini kontrol etmeniz büyük önem taşır. Genellikle bu tür kötü amaçlı yazılımlar, ayarları kendi lehine çevirir ve siz fark etmeden verilerinizi toplamaya devam edebilir. Tarayıcı ayarlarınızı sıfırlamak veya güvendiğiniz bir arama motorunu tekrar varsayılan yapmak iyi bir başlangıç olacaktır.
Kurumsal ortamlar ve ekipler için Microsoft, daha kapsamlı güvenlik önlemleri öneriyor. Şirketler, tarayıcı veya şirket politikaları aracılığıyla yalnızca onaylanmış uzantıların yüklenmesine izin vermelidir. Bu, çalışanların farkında olmadan riskli yazılımları yüklemesini engellemenin en etkili yollarından biridir. Ayrıca, değişen arama ayarları, olağan dışı uzantı izinleri ve bilinmeyen alan adlarına giden trafik dikkatle izlenmelidir. Şüpheli durumlar, erken teşhis ve müdahale için kritik ipuçları sunar. Kurumsal ağlarda bu tür ihlaller, sadece bireysel kullanıcıları değil, tüm şirketi tehlikeye atabilir.
Genel bir kural olarak, yapay zeka markası taşıyan araçlara karşı ekstra şüpheci yaklaşmak gerekir. Her yeni ve parlak görünen uygulamanın ardında, gizli bir gündem olabilir. Bir uzantıyı yüklemeden önce, yayıncısını ve kullandığı alan adını dikkatlice kontrol edin. Güvenilir olmayan kaynaklardan gelen uzantılar, her zaman potansiyel bir risk taşır. Bu, dijital sağduyunun temel bir ilkesi haline gelmelidir. Unutmayın, siber güvenlik bir kerelik bir işlem değil, sürekli bir dikkat ve güncellenme sürecidir.
Bu tür olaylar, internet kullanıcılarının siber hijyen alışkanlıklarını geliştirmelerinin ne kadar hayati olduğunu gösteriyor. Güçlü ve benzersiz parolalar kullanmak, iki faktörlü kimlik doğrulamayı etkinleştirmek ve düzenli olarak yazılım güncellemelerini yapmak, temel savunma mekanizmalarıdır. Ancak uzantılar gibi üçüncü taraf yazılımların getirdiği riskler, bu temel alışkanlıkların ötesinde bir dikkat gerektirir. Dijital dünyada güvende kalmak için proaktif olmak ve her zaman bir adım önde düşünmek şart.
Sık Sorulan Sorular
İlgili Makaleler
- ›Sahte 7-Zip Yükleyicileri, Cihazları Konut Proxy Ağına Katıyor
- ›Gizlenen Kimlik Avı Dalgaları Geleneksel E-posta Kalkanlarını Kırıyor
- ›Kimlik Doğrulama Adımı: Siber Saldırıların Yeni Cephesi
- ›Tenda Router Yazılımlarında Gizli Yönetici Arka Kapısı Riski
- ›Dijital Güvenlikte Yeni Dönem: 2026’nın En İyi Yapay Zeka ve Kimlik Korumalı Antivirüs Programları