Siber Güvenlik

Gizlenen Tehlike: Kötü Amaçlı Chrome Uzantısı Aramalarınızı Nasıl Çaldı?

Dijital dünyada kişisel verilerin korunması her geçen gün daha da karmaşık bir hal alıyor. Yakın zamanda ortaya çıkan bir vaka, popüler yapay zeka arama motoru Perplexity AI‘ı taklit eden kötü amaçlı Chrome uzantısı ile milyonlarca kullanıcının hassas bilgilerini ele geçirme potansiyeli taşıdı.

Bu sinsi yazılım, kullanıcıların internet deneyimini aldatıcı bir şekilde normalleştirirken, arka planda tarayıcı verilerini toplayarak ciddi bir güvenlik tehdidi oluşturdu. Kullanıcılar bilmeden her karakteri, her aramayı siber saldırganların sunucularına aktarıyorlardı; bu, bir Chrome uzantısından beklenen bir davranış mıydı gerçekten?

Sanal Bir Kimlik Hırsızlığı: “Perplexity AI” Kılığına Giren Tehdit

Kullanıcıları hedef alan bu dijital saldırı, Microsoft’un Defender araştırma ekibi tarafından ortaya çıkarıldı. Söz konusu uzantı, kendini Perplexity AI yapay zeka arama motoru olarak gösteriyordu ve adında da “Search for perplexity ai” ifadesini taşıyordu. Oysa gerçekte, kullanıcıların her aramasını ve adres çubuğuna yazdığı her karakteri kaydeden tehlikeli bir casus yazılımdı. Uzantının kimlik numarası (ID) flkebkiofojicogddingbdmcmkpbplcd olarak belirlendi.

Saldırganlar, gerçek Perplexity AI hizmetinin perplexity.ai olan resmi alan adını taklit ederek perplexity-ai[.]online gibi yanıltıcı bir adres kullandılar. Bu kurnaz taktik, ortalama bir internet kullanıcısının şüphelenmesini zorlaştırıyordu. Microsoft’un sorumluluk bilinciyle yaptığı bildirim sonrası Google, bu kötü amaçlı Chrome uzantısını mağazasından hızla kaldırdı. Peki, böylesine sofistike bir tehdit nasıl bu kadar yaygınlaşabildi?

Bu olay, yapay zeka markalarını paravan olarak kullanan ve giderek artan kötü amaçlı uzantı dalgasının sadece bir parçası. Geçmişte bazı uzantılar varsayılan arama motorunu değiştirerek klavye girişlerini yakalarken, bazıları ChatGPT ve DeepSeek gibi platformlardaki sohbetleri ele geçiriyordu. Microsoft’un önceki araştırmaları, sadece sohbetleri hedef alan uzantıların 20.000’den fazla şirket ağında yaklaşık 900.000 kuruluma ulaştığını gösteriyor ki bu rakamlar siber güvenlik alarm zillerini çaldırıyor.

Adres Çubuğundan Sunucuya: Veri Toplama Mekanizması

Kurulduktan sonra “Search for perplexity ai” isimli kötü amaçlı Chrome uzantısı, tarayıcının varsayılan arama motorunu kendine ayarlıyordu. Bu sayede, kullanıcıların yaptığı her arama sorgusu önce saldırganın kontrolündeki perplexity-ai[.]online sunucusuna yönlendiriliyordu. Saldırganın sunucusu, sorguyla birlikte tarayıcı başlıkları, IP adresi ve kullanıcı aracısı gibi kritik bilgileri de kaydediyordu.

Veriler kaydedildikten hemen sonra, bir kural devreye girerek kullanıcıları gerçek arama motorlarına—Perplexity, Google veya Bing—yönlendiriyordu. Bu yönlendirme sayesinde sonuçlar tamamen normal görünüyordu ve kullanıcılar veri hırsızlığının farkına bile varmıyordu. Hırsızlık, arama sonuçları gösterilmeden önceki o ilk durakta, yani saldırganın sunucusunda gerçekleşiyordu. Ancak işler sadece arama sorgularıyla sınırlı değildi.

Uzantı, tarayıcının canlı arama önerilerini (suggest_url) de aynı saldırgan alan adına yönlendirmişti. Bu ne anlama geliyordu? Kullanıcı daha “Enter” tuşuna basmadan, adres çubuğuna yazdığı her bir karakter—bitmemiş aramalar bile—saldırganın sunucusuna ulaşıyordu. Chrome’un arama sağlayıcısı geçersiz kılmalarına izin vermesiyle birlikte, meşru uzantılar bu özelliği kullanır, ancak trafik yönlendirme ve kaydetme bir arama kutusunun asla yapmaması gereken eylemlerdir. Uzantı, tam da bu işi yapmak için declarativeNetRequest izin ailesini talep etmiş, ardından her isteği kaydeden sunucu tarafı kodunu devreye sokmuştu. Microsoft, bunun veri toplamanın kasıtlı bir eylem olduğunun, yönlendirmenin bir yan etkisi olmadığının kanıtı olduğunu belirtiyor. Uzantının Google ve Bing için devre dışı bırakılmış yönlendirme kuralları bırakması ve ileride WebAssembly kodu çalıştırmaya yer açması, niyetin çok daha fazlası olduğunu açıkça gösteriyor.

Türkiye Kullanıcıları İçin Ne Anlama Geliyor? Siber Güvenlikte Yeni Boyut

Bu tür bir kötü amaçlı Chrome uzantısı saldırısı, Türkiye’deki bireysel kullanıcılar ve kurumsal yapılar için ciddi sonuçlar doğurabilir. İnternet kullanım alışkanlıklarımızda hız ve kolaylık arayışımız, güvenlik kontrollerini arka plana itebiliyor. Bu da sahte uygulamaların ve uzantıların yayılması için ideal bir zemin hazırlıyor. Birçok Türk kullanıcısı, bir uzantıyı yüklemeden önce yayıncısının güvenilirliğini veya talep ettiği izinleri detaylıca inceleme alışkanlığına sahip değil. Bu durum, siber saldırganlar için büyük bir açık oluşturuyor.

Özellikle yapay zeka teknolojilerine olan ilgi, sahte AI markalarının arkasına saklanan tehditlerin sayısını artırıyor. KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında şirketlerin veri güvenliği yükümlülükleri göz önüne alındığında, bu tür bir uzantının bir şirket ağına sızması yıkıcı olabilir. Çalışanların arama geçmişleri, IP adresleri ve hatta adres çubuğuna yazdıkları her karakterin ele geçirilmesi, kurumsal sırların, müşteri verilerinin veya hassas iş bilgilerinin çalınması riskini beraberinde getirir. Peki, bu denli sofistike ve sinsi saldırılarla mücadele etmek, ulusal siber güvenlik stratejilerimizin neresinde duruyor?

Bu vaka, sadece bireysel farkındalığın değil, aynı zamanda kurumların proaktif güvenlik politikalarının ve çalışan eğitimlerinin de ne kadar elzem olduğunu bir kez daha ortaya koyuyor. Türkiye’deki siber güvenlik ekipleri, bu tür AI markalı tehditlere karşı özel bir dikkat geliştirmeli ve tarayıcı tabanlı uzantı güvenliklerini sürekli gözden geçirmelidir. Unutulmamalı ki dijital dünyadaki her yeni trend, siber suçlular için yeni bir saldırı vektörü anlamına gelebilir.

Bu tür saldırılar, dijital dünyada attığımız her adımın bir iz bıraktığını ve bu izin kötü niyetli kişiler tarafından nasıl kullanılabileceğini acı bir şekilde hatırlatıyor. Güvenlik, sadece bir yazılım özelliği değil, aynı zamanda bir zihniyet meselesidir.

Bu Kötü Amaçlı Chrome Uzantısı Tehdidine Karşı Nasıl Korunmalısınız?

Eğer “Search for perplexity ai” isimli kötü amaçlı Chrome uzantısını yüklediyseniz, derhal kaldırmanız ve tarayıcınızın varsayılan arama motorunun değiştirilip değiştirilmediğini kontrol etmeniz gerekiyor. Bu, en temel ve acil adımınız olmalı. Ancak genel olarak, bu tür tehditlere karşı korunmak için alabileceğiniz daha geniş kapsamlı önlemler de mevcut.

Bireysel kullanıcılar ve kurumlar için siber güvenlik uzmanlarının önerileri oldukça nettir:

  • Onaylı Uzantıları Kullanın: Tarayıcınızda veya şirket politikalarınızda sadece onaylanmış ve güvenilirliği kanıtlanmış uzantılara izin verin. Her uzantının masum olmadığını unutmayın.
  • Arama Ayarlarını İzleyin: Tarayıcınızın varsayılan arama ayarlarında beklenmedik değişiklikler olup olmadığını düzenli olarak kontrol edin. Bu tür değişiklikler, zararlı bir uzantının ilk belirtilerinden biri olabilir.
  • Uzantı İzinlerini Gözden Geçirin: Bir uzantı kurarken talep ettiği izinleri dikkatlice okuyun. Bir arama uzantısının ağ trafiğinizi yönlendirme veya kapsamlı veri toplama izinleri istemesi, kırmızı bayrak niteliğindedir.
  • Bilinmeyen Alan Adı Trafiğini İzleyin: Ağınızdan bilinmeyen veya şüpheli alan adlarına giden trafiği izlemek için güvenlik araçları kullanın. Bu, erken uyarı sistemi görevi görebilir.
  • AI Markalı Araçlara Şüpheyle Yaklaşın: Yapay zeka markası altında sunulan her araca ekstra şüpheyle yaklaşın. Yüklemeden önce yayıncısını, alan adını ve kullanıcı yorumlarını detaylıca araştırın. Resmi kaynaklardan geldiğinden emin olun.

Siber güvenlik, sürekli bir dikkat ve adaptasyon gerektiren dinamik bir alandır. Yeni tehditler ortaya çıktıkça, savunma mekanizmalarımızı da güncellemek zorundayız. Dijital hijyeninizi koruyarak ve yukarıdaki adımları uygulayarak, bu tür sinsi saldırılara karşı kendinizi önemli ölçüde güvence altına alabilirsiniz. Unutmayın, en iyi savunma bilinçli olmaktır.

Sık Sorulan Sorular

Söz konusu kötü amaçlı Chrome uzantısının adı neydi?

Uzantının adı "Search for perplexity ai" idi ve ID'si flkebkiofojicogddingbdmcmkpbplcd olarak belirlenmişti. Gerçek Perplexity AI'ı taklit ediyordu.

Uzantı hangi tür verileri topluyordu?

Kullanıcıların arama sorgularını, adres çubuğuna yazılan her karakteri, tarayıcı başlıklarını, IP adreslerini ve kullanıcı aracısı bilgilerini topluyordu.

Bu tür uzantılardan korunmak için ne yapmalıyım?

Sadece onaylı uzantıları kullanın, arama ayarlarınızı düzenli kontrol edin, uzantı izinlerini dikkatlice inceleyin ve AI markalı araçlara şüpheyle yaklaşarak yayıncı bilgilerini doğrulayın.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu