Siber Güvenlik

Tarayıcı Güvenliği Tehlikede: Kötü Amaçlı Chrome Uzantısı Aramaları Nasıl Çaldı?

Dijital dünyada kişisel verilerimizin güvenliği her zamankinden daha kritik. Yakın zamanda ortaya çıkan bir kötü amaçlı Chrome uzantısı, yapay zeka arama motoru Perplexity adını kullanarak milyonlarca kullanıcının arama verilerini ve hatta adres çubuğu girişlerini gizlice ele geçirdi. Bu durum, tarayıcı uzantılarının arkasındaki gizli tehlikeleri bir kez daha gözler önüne seriyor; kullanıcılar, bilgisayarlarının en hassas noktalarından biri olan tarayıcılarına ne kadar güvenebilirler?

Tespitten Sahtekarlığın Perde Arkasına: Nasıl Çalıştı?

Siber güvenlik uzmanları, “Search for perplexity ai” adıyla bilinen ve kimliği flkebkiofojicogddingbdmcmkpbplcd olan bir kötü amaçlı Chrome uzantısının, Perplexity AI arama motorunu taklit ettiğini tespit etti. Bu uzantı, gerçek hizmetin perplexity.ai adresini kopyalayarak perplexity-ai[.]online gibi yanıltıcı bir alan adı kullandı. Uzantının temel amacı, kullanıcıların arama sorgularını ve adres çubuğuna yazdıkları her karakteri ele geçirmekti.

Peki bu dolandırıcılık nasıl işledi? Bu kötü amaçlı Chrome uzantısı kurulur kurulmaz kendini tarayıcının varsayılan arama motoru olarak ayarlıyordu. Kullanıcı bir arama yaptığında, sorgu doğrudan gerçek arama motoruna gitmek yerine, ilk olarak saldırganın kontrolündeki perplexity-ai[.]online adresine yönlendiriliyordu. Bu “ilk durak” sırasında, kullanıcının arama sorgusu, tarayıcı başlıkları, IP adresi ve kullanıcı aracısı bilgileri ile birlikte kötü niyetli sunucuya kaydediliyordu. Bu yöntem, her yeni kötü amaçlı Chrome uzantısı saldırısında karşımıza çıkıyor.

Veriler kaydedildikten sonra, uzantı kullanıcıyı hızla gerçek bir arama motoruna – Perplexity, Google veya Bing – yönlendiriyordu. Bu sayede, kullanıcılar normal arama sonuçlarını görüyor ve herhangi bir şüphe duymuyorlardı. Ancak asıl tehlike, yönlendirme gerçekleşmeden hemen önce, yani verilerin saldırgan sunucusuna ulaştığı o ilk an yaşanıyordu. Bu kötü amaçlı Chrome uzantısı, arama kutusunun asla ihtiyaç duymayacağı kadar geniş bir erişim yetkisine sahipti; bu durum, veri toplamanın kasıtlı bir eylem olduğunu açıkça gösteriyordu. Siber güvenlik dünyasında bu tür “ara duraklar” her zaman alarm zillerinin çalmasına neden olmaz mı?

Sadece Arama Değil: Adres Çubuğu Girişleri ve Derinlemesine Veri Avcılığı

Bu kötü amaçlı Chrome uzantısı sadece tamamlanmış arama sorgularını değil, çok daha fazlasını hedefliyordu. Tarayıcının canlı arama önerileri (suggest_url) özelliğini de saldırganın alan adına yönlendiren uzantı, kullanıcıların Enter tuşuna basmadan önce adres çubuğuna yazdığı her karakteri kaydediyordu. Bu, potansiyel olarak çok daha hassas bilgilerin – e-posta adresleri, oturum açma denemeleri, URL’ler – ele geçirilmesi anlamına geliyordu. Düşünsenize, daha siz düşüncenizi tamamlamadan verileriniz çoktan bir başkasının eline geçmiş olabilir.

Chrome, arama sağlayıcısı geçersiz kılmalarına izin verir ve meşru uzantılar bu özelliği kullanır. Ancak bu uzantının yaptığı gibi kullanıcı trafiğini yeniden yazmak ve kötü niyetli sunuculara yönlendirmek, bir arama kutusunun görevi değildir. Bu kötü amaçlı Chrome uzantısı, tam da bu tür yönlendirme ve veri yakalama işlemlerini gerçekleştirmek için declarativeNetRequest izin ailesini talep ediyordu. Siber güvenlik araştırmacıları, sunucu tarafında çalışan kodun her isteği kaydettiğini ve bunun veri toplamanın bir yan etki değil, kasıtlı bir eylem olduğunun kanıtı olduğunu vurguluyor.

Dahası, uzantının kodunda Google ve Bing için devre dışı bırakılmış yönlendirme kuralları da bulunuyordu. Bu, aynı kötü niyetli kurulumun bu arama motorları için de kolayca etkinleştirilebileceği anlamına geliyordu. Basit bir arama aracının WebAssembly kodu çalıştırmak için yer bırakması ise başlı başına şüphe uyandırıcıydı. Bu, gelecekte daha karmaşık saldırılar için bir altyapı hazırlandığına işaret etmez mi? Her yeni kötü amaçlı Chrome uzantısı, siber güvenlik cephesinde yeni bir ders niteliği taşır.

“Yapay zeka markası altında gizlenen her yazılımı sorgulamak, dijital çağın temel güvenlik düsturu haline gelmelidir. Bir uzantı, talep ettiği izinler ve arka plandaki davranışlarıyla kimliğini açıkça ele verir.”

Yapay Zeka Logosu Altındaki Tehditler ve Kurumsal Riskler

Bu olay, yapay zeka markalarını suistimal eden kötü amaçlı Chrome uzantılarının yükselen trendinin yalnızca bir örneği. Daha önce, varsayılan arama motorunu değiştiren, arama sağlayıcılarını kaçıran veya ChatGPT ve DeepSeek gibi yapay zeka sohbetlerini izinsiz toplayan benzer saldırılar gözlemlendi. Geçmişte yapılan araştırmalar, bu tür sohbet izleme saldırılarının 20.000’den fazla şirket ağında yaklaşık 900.000 kuruluşa ulaştığını ortaya koymuştu. Bu, dijital güvenliğin ne denli kırılgan olduğunu gösteren ciddi bir tablodur.

Bu yeni saldırının farkı ise hedefiydi: yapay zeka sohbetleri yerine doğrudan kullanıcıların aramaları ve adres çubuğuna yazılan karakterler, Chrome’un kendi uzantı mekanizması aracılığıyla toplanıyordu. Türkiye’deki şirketler ve bireysel kullanıcılar için bu durum ne anlama geliyor? Yapay zeka araçlarına olan ilginin artmasıyla birlikte, bu tür sahte uzantıların Türk kullanıcıları da hedef alması kaçınılmaz hale geliyor. Özellikle küçük ve orta ölçekli işletmelerin (KOBİ’ler) bu tür sofistike saldırılara karşı kendilerini koruma kapasiteleri, büyük kurumsal yapılara göre daha sınırlı olabilir. Acaba KOBİ’ler, çalışanlarını bu tür görünmez tehlikelere karşı yeterince eğitebiliyor mu? Bu tür bir kötü amaçlı Chrome uzantısı, en hazırlıklı şirketleri bile zorlayabilir.

Günümüzde, bir yazılımın veya uzantının yapay zeka ile ilişkili olduğu iddia edilmesi, otomatik olarak güvenilir olduğu anlamına gelmiyor. Tam tersine, bu tür popüler trendler, kötü niyetli aktörler için cazip bir kamuflaj sağlıyor. Kullanıcıların ve kurumların, her yeni ‘AI destekli’ aracı kurarken iki kez düşünmeleri ve arka plan kontrollerini titizlikle yapmaları gerekiyor. Aksi takdirde, dijital kapıları bilmeden ardına kadar açabiliriz. Bu bağlamda, her bir kötü amaçlı Chrome uzantısı, genel siber güvenlik risk haritasında yeni bir nokta demektir.

Kötü Amaçlı Chrome Uzantısı Tehlikesine Karşı Ne Yapmalısınız?

Eğer “Search for perplexity ai” adlı uzantıyı yüklediyseniz, derhal kaldırmalısınız. Uzantıyı kaldırdıktan sonra tarayıcınızın varsayılan arama motorunun değişip değişmediğini kontrol etmek hayati önem taşır. Çoğu zaman bu tür kötü amaçlı Chrome uzantıları, kaldırılsalar bile ayarlarınızı manipüle etmeye devam edebilirler. Güvenliğinizi sağlamak için atmanız gereken adımlar var:

  • Uzantıyı Kaldırın: Chrome tarayıcınızda sağ üst köşedeki üç noktaya tıklayın, “Diğer araçlar” ve ardından “Uzantılar” yolunu izleyin. “Search for perplexity ai” uzantısını bulun ve kaldırın. Bu kötü amaçlı Chrome uzantısı sisteminizden tamamen temizlenmelidir.
  • Varsayılan Arama Motorunu Kontrol Edin: Yine ayarlara girerek “Arama motoru” bölümünden varsayılan arama motorunuzun güvendiğiniz bir hizmet olduğundan emin olun.
  • Tarayıcı Ayarlarını Sıfırlayın (Gerekirse): Eğer şüpheleriniz devam ediyorsa, tarayıcınızı varsayılan ayarlarına sıfırlamak, gizli kalmış kötü amaçlı değişiklikleri ortadan kaldırabilir. Bu tür bir kötü amaçlı Chrome uzantısını tamamen etkisiz hale getirmenin en kesin yollarından biridir.
  • Şirket Politikalarını Gözden Geçirin: Kurumsal ortamlarda, yalnızca onaylanmış uzantıların kullanılmasına izin veren katı politikalar uygulayın. Bu, merkezi yönetimle uzantı dağıtımını ve denetimini kolaylaştırır.
  • Anormal Davranışları İzleyin: Değişen arama ayarları, olağan dışı uzantı izinleri veya bilinmeyen alan adlarına giden trafik gibi işaretlere karşı sürekli tetikte olun. Bu tür anormallikler, bir güvenlik ihlalinin ilk belirtileri olabilir.
  • Yayıncıyı ve Alan Adını Doğrulayın: Özellikle yapay zeka markalı araçlar söz konusu olduğunda, uzantıyı yüklemeden önce yayıncının güvenilirliğini ve uzantının eriştiği alan adlarını dikkatlice kontrol edin. Gerçek Perplexity AI’nın perplexity.ai gibi kendi resmi alan adını kullandığını unutmayın.

Siber saldırganların kullandığı yöntemler sürekli evriliyor. Bu nedenle, proaktif olmak ve dijital güvenlik hijyenine dikkat etmek, kişisel ve kurumsal verilerimizi korumanın yegane yoludur. Bu tür olaylar, dijital okuryazarlığın ve güvenlik farkındalığının ne kadar paha biçilmez olduğunu bir kez daha kanıtlıyor.

Sık Sorulan Sorular

Perplexity AI uzantısı adı altında yayılan kötü amaçlı yazılım ne tür verileri çaldı?

Bu uzantı, kullanıcıların arama sorgularını, adres çubuğuna yazdıkları her karakteri, tarayıcı başlıklarını, IP adreslerini ve kullanıcı aracısı bilgilerini ele geçirdi.

Uzantının meşru bir arama motorunu taklit ettiğini nasıl anlayabilirim?

Meşru bir uzantı genellikle resmi alan adlarını kullanır. Bu olayda, sahte uzantı 'perplexity-ai[.]online' gibi yanıltıcı bir alan adı kullanırken, gerçek Perplexity AI 'perplexity.ai' adresini kullanır. Yayıncıyı ve alan adını dikkatlice kontrol edin.

Tarayıcı uzantılarının veri çalmasını nasıl engelleyebilirim?

Yalnızca güvenilir kaynaklardan uzantı yükleyin, uzantıların talep ettiği izinleri dikkatlice inceleyin, varsayılan arama motoru ayarlarınızı düzenli olarak kontrol edin ve tarayıcınızı güncel tutun.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu