جوجل

متصفح جوجل كروم : إضافة خبيثة ظهرت على متجر ChromeWeb Store تسرّب ما يكتبه المستخدمون!

إضافة Perplexity مزيفة على Chrome تسرّب ما يكتبه المستخدمون

حذّرت Microsoft Defender Security Research Team من إضافة خبيثة ظهرت على متجر Chrome Web Store تحت اسم قريب من Perplexity AI، وكانت تعمل على تسجيل ما يكتبه المستخدمون وإعادة توجيه عمليات البحث عبر نطاق مزيف.

ورغم إزالة الإضافة من متجر كروم، فإن المستخدمين الذين قاموا بتثبيتها سابقًا ما زالوا بحاجة إلى حذفها يدويًا من المتصفح، لأن إزالتها من المتجر لا تعني حذفها تلقائيًا من الأجهزة.

ما اسم الإضافة الخبيثة؟

الإضافة كانت تحمل اسم:

Search for perplexity ai

وهي ليست الإضافة الرسمية الخاصة بخدمة Perplexity AI، بل إضافة خارجية مزيفة استغلت اسم الخدمة لخداع المستخدمين وجعلهم يعتقدون أنها أداة بحث مرتبطة بالمنصة.

كيف كانت الإضافة تعمل؟

بحسب مايكروسوفت، كانت الإضافة تعيد توجيه حركة البحث الخاصة بالمستخدمين عبر نطاق مزيف يشبه اسم Perplexity الحقيقي، بدلًا من استخدام النطاق الرسمي:

perplexity.ai

وكان النطاق المستخدم في الهجوم هو:

perplexity-ai[.]online

هذا النوع من الخداع يُعرف باسم typosquatting، حيث يستخدم المهاجمون نطاقًا قريبًا من اسم خدمة شهيرة لخداع المستخدمين أو تمرير البيانات عبر خوادمهم.

الإضافة كانت تغيّر محرك البحث الافتراضي

عند تثبيت الإضافة، كانت تطلب صلاحية:

chrome_settings_overrides

وهذه الصلاحية تسمح لها بتغيير إعدادات المتصفح، بما في ذلك جعل نفسها أو خدمتها محرك البحث الافتراضي.

وبذلك، كانت الإضافة قادرة على اعتراض عمليات البحث التي يكتبها المستخدم في شريط العنوان داخل كروم.

تسجيل ما يكتبه المستخدم قبل الضغط على Enter

الأخطر أن الإضافة لم تكن تنتظر فقط إرسال البحث، بل كانت قادرة على التقاط ضغطات الكتابة أثناء إدخال النص في شريط العنوان، من خلال آلية مرتبطة باقتراحات البحث.

وبحسب التقرير، كان الخادم الخبيث يحصل على بيانات مثل:

نص البحث الكامل
رؤوس HTTP
نوع المتصفح وبيانات user-agent
عنوان IP الخاص بالمستخدم
مصدر الطلب

هذا يعني أن الإضافة لم تكن مجرد أداة إعادة توجيه، بل كانت وسيلة لجمع بيانات حساسة عن نشاط البحث.

صلاحيات غير ضرورية وخطرة

حصلت الإضافة أيضًا على صلاحية:

declarativeNetRequest

وهي صلاحية يمكن استخدامها لإدارة طلبات الشبكة داخل المتصفح. ورغم أن بعض الإضافات الشرعية قد تحتاج إليها، فإن هذه الإضافة استغلتها لإعادة توجيه الطلبات وتعديل الروابط.

وأشارت مايكروسوفت إلى أن الإضافة لم تكن بحاجة حقيقية لهذه الصلاحية، ما جعل استخدامها علامة واضحة على سلوك مشبوه.

لماذا لم تكشف جوجل الإضافة مبكرًا؟

وجود الإضافة على متجر Chrome Web Store يثير تساؤلات جديدة حول قدرة جوجل على فحص الإضافات قبل إتاحتها للمستخدمين.

فالإضافة كانت تحمل بنية هجومية واضحة، بل واحتوت على كود مرتبط بالبنية الخادمية المستخدمة في الهجوم، ما ساعد الباحثين على فهم آلية العمل بالكامل.

ورغم أن جوجل أزالت الإضافة بعد اكتشافها، فإن الضرر المحتمل قد يكون وقع بالفعل على المستخدمين الذين قاموا بتثبيتها.

كيف تعرف هل الإضافة موجودة لديك؟

للتحقق من وجود الإضافة الخبيثة، افتح متصفح Chrome واكتب في شريط العنوان:

chrome://extensions/

ثم فعّل خيار Developer mode أو وضع المطور.

بعد ذلك، ابحث عن أي إضافة تحمل اسمًا مرتبطًا بـ Perplexity، وتحقق من رقم التعريف الخاص بها.

إذا كان رقم تعريف الإضافة هو:

flkebkiofojicogddingbdmcmkpbplcd

فيجب حذفها فورًا، لأنها الإضافة الخبيثة المشار إليها في التقرير.

ماذا يجب أن تفعل الآن؟

إذا وجدت الإضافة على جهازك، قم بحذفها فورًا من صفحة الإضافات. ومن الأفضل أيضًا مراجعة كل الإضافات المثبتة داخل Chrome، وحذف أي إضافة لا تحتاجها أو لا تثق بمصدرها بشكل كامل.

كما يُنصح بتغيير كلمات المرور المهمة إذا كنت قد استخدمت المتصفح للبحث أو الدخول إلى خدمات حساسة أثناء وجود الإضافة، خاصة إذا كنت تشك في أن بياناتك قد تكون تعرضت للاعتراض.

نصائح لتجنب إضافات Chrome الخبيثة

لا تثبّت الإضافات لمجرد أنها تحمل اسم خدمة مشهورة. تحقق دائمًا من اسم المطور، وعدد المستخدمين، والتقييمات، والصلاحيات المطلوبة.

وإذا طلبت إضافة بسيطة صلاحيات واسعة مثل تعديل محرك البحث أو قراءة طلبات الشبكة أو إعادة توجيه الروابط، فهذه إشارة خطر يجب الانتباه لها.

كما يفضل الاعتماد على الإضافات الرسمية فقط، خصوصًا مع خدمات الذكاء الاصطناعي المشهورة التي قد يستغل المحتالون أسماءها لخداع المستخدمين.

المصدر

زر الذهاب إلى الأعلى