ماذا حدث
كشف باحثو الأمن في شركة Socket عن شبكة منظّمة تضمّ 152 إضافة (Extension) لمتصفح Google Chrome تُقدّم نفسها على هيئة إضافات خلفيات حية (Live Wallpaper) لعلامة تبويب جديدة. غير أن وراء هذه الواجهة الترفيهية عملاً خفياً يشمل توزيع برامج غير مرغوب فيها (Potentially Unwanted Program - PUP) وسرقة بيانات المستخدمين والتلاعب بإشارات حركة المرور الرقمية.
تنتشر هذه الإضافات عبر 38 حساب ناشر مستقلاً على متجر Chrome Web Store، وتتشارك ثلاث واجهات خلفية هي: tabplugins[.]com وyowgames[.]com وchromewallpaper[.]com. وقد تجاوز مجموع التثبيتات 105,000 مرة حتى وقت اكتشاف الحملة.
التفاصيل
**خداع مزدوج في سياسة الخصوصية**
لاحظ الباحث Kush Pandya من Socket تناقضاً صارخاً بين ما تُعلنه الإضافات على صفحاتها في المتجر وما تنصّ عليه سياسة الخصوصية المرتبطة بها فعلياً. فبينما تؤكد الصفحات الرسمية أن الإضافات لا تجمع أي بيانات عن المستخدم ولا تستخدمها، تُقرّ وثيقة الخصوصية بتسجيل عناوين IP ومزوّدي خدمة الإنترنت (ISP) وعدد النقرات والمواقع المُحيلة (Referrers)، ومشاركة هذه المعلومات مع منصات إعلانية من بينها Google AdSense وDoubleClick وشركاء إعلانيين آخرون.
ومن الإضافات المُحدَّدة بالاسم في التحقيق: «Neymar - Football Live Wallpaper» و«Satoru Gojo Manga Live Wallpaper» و«Hello Kitty Wallpapers HD New Tab» و«Spider-Man Miles Morales Swing Live Wallpaper» و«Death Note Anime Wallpapers HD New Tab»، إضافة إلى عدد كبير غيرها تستهدف جمهوراً من عشاق الألعاب والأنمي وعالم السيارات.
**تزوير إشارات البحث العضوي**
الأكثر خطورة من الناحية التقنية هو ما رصده الباحثون في ملف جافاسكريبت (JavaScript) باسم "js/bg.js" لدى مجموعة فرعية من هذه الإضافات. يحتوي الملف على عنوانَي URL مُضمَّنَين بشكل ثابت (Hard-coded)، يُفعَّل كل منهما في لحظة تثبيت الإضافة أو إلغاء تثبيتها:
- **رابط التثبيت**: يحمل معاملات تتبع (UTM Parameters) تُصنّف الزيارة الناتجة على أنها بحث عضوي (Organic Search) قادم من Google، رغم أن المستخدم لم يبحث عن شيء قط، بل فتحت الإضافة التبويب من تلقاء نفسها.
- **رابط إلغاء التثبيت**: يُمرَّر عبر بنية إعادة التوجيه الخاصة بـ google.com/url، وهي البنية ذاتها التي تستخدمها Google للروابط الحقيقية في نتائج البحث، متضمّناً رموز التوقيع (ved وusg tokens)، مما يجعل الطلب يبدو في السجلات كنقرة بشرية حقيقية على نتيجة بحث.
الهدف من هذه الحيلة هو تضخيم إشارات حركة المرور العضوي بصورة مصطنعة لمواقع المشغّلين، وهو ما يُعرف بـ احتيال إسناد حركة المرور (Traffic Attribution Fraud)، إذ تُخدع المنصات الإعلانية لتعتقد أن هذه الزيارات مصدرها مستخدمون يبحثون فعلاً.
**قدرة خاملة على حذف قواعد البيانات**
كشفت الشيفرة المصدرية كذلك عن وظيفة خاملة (Dormant Capability) قادرة على حصر جميع قواعد بيانات IndexedDB في المتصفح وحذفها عند تشغيل عامل الخدمة (Service Worker)، وهو ما يمنح المشغّلين أداة تخريبية إضافية يمكن تفعيلها متى شاؤوا.
وتُشير القرائن المتاحة، رغم عدم الجزم، إلى أن هذه الحملة ربما انطلقت من تركيا.
لماذا يهمّك
تكشف هذه الحادثة عن ثغرة جوهرية في ثقة المستخدمين بالإضافات المُدرجة على المتاجر الرسمية. فمجرّد وجود الإضافة في Chrome Web Store لا يعني سلامتها؛ فقد حافظ المشغّلون على واجهة مشروعة الشكل بينما كانوا يجمعون البيانات ويزوّرون الإحصاءات الإعلانية في الخلفية. وتُمثّل هذه الحملة نموذجاً من نماذج الاحتيال التجاري الممنهج (Financially Motivated Adware Operation) الذي يستغل ثقة المستخدم وبيئة المتجر الرسمي معاً.
توصيات
- مراجعة قائمة الإضافات المُثبَّتة على المتصفح وإزالة أي إضافة لخلفيات أو علامات تبويب لا تتذكر مصدرها أو الحاجة الفعلية إليها.
- التحقق دائماً من أذونات الإضافة وقراءة سياسة الخصوصية المرتبطة بها قبل التثبيت، وليس الاكتفاء بما يُكتب في صفحة المتجر.
- تفضيل الإضافات الصادرة عن ناشرين موثوقين ومعروفين بحجم تقييمات معقول وتاريخ منشور واضح.
- استخدام أدوات أمان المتصفح أو إضافات الحماية من الإعلانات (Ad Blockers) القادرة على رصد الطلبات الخارجة من الإضافات نفسها.
