Sahte Perplexity Uzantısı, Chrome Web Store'da Kullanıcı Verilerini Takip Ediyor

Chrome Web Store'da tespit edilen sahte bir uzantı, gerçek Perplexity AI arama motorunu taklit ederek kullanıcıların arama trafiğini yönlendiriyor ve tarayıcı bilgilerini topluyor.

"Search for perplexity ai" adıyla anılan bu uzantı, arama sorgularını ve gerçek zamanlı önerileri kendi altyapısı üzerinden yönlendirerek, kullanıcıları meşru arama hizmetlerine yönlendiriyor.

Microsoft Tehdit İstihbarat araştırmacıları, bu uzantının kimlik bilgilerini veya diğer hassas bilgileri çalmadığını belirtirken, uzantının izinlerinin, operatör verileri çalma kapsamını genişletmeye karar verirse bunu kolaylıkla yapabileceğini vurguladı.

Perplexity AI, kullanıcıların arama yapmasına ve bilgileri doğrudan, konuşma tarzında yanıtlar halinde sentezlemesine yardımcı olan bir araştırma asistanıdır. Bu sistem, kullanıcıların cevaplarını bulması için bağlantılar listesini görüntülemek yerine, doğrudan yanıtlar sunar.

Perplexity AI, web üzerinden, mobil (Android ve iOS) ve masaüstü uygulaması olarak mevcuttur. Resmi Chrome uzantısı ise "Perplexity – AI Search" olarak adlandırılmaktadır.

Microsoft'un tespit ettiği sahte uzantı, benzer bir marka ismi ve "perplexity-ai[.]online" alan adını kullanırken, meşru alan adı olan perplexity.ai'yi taklit etmektedir.

Uzantı yüklendikten sonra, tarayıcının arama ayarlarını değiştirerek varsayılan arama sağlayıcısını değiştiriyor ve tüm adres çubuğu sorgularını saldırganın altyapısı üzerinden yönlendiriyor.

Microsoft, "Uzantı, chrome_settings_overrides üzerinden tarayıcı arama ayarlarını geçersiz kılarak varsayılan arama sağlayıcısını değiştirmekte ve tüm sorguları resmi satıcı alan adıyla ilişkilendirilmemiş bir ara altyapıya yönlendirmektedir." açıklamasında bulundu.

Bu düzeyde veri toplamanın tesadüfi olmadığı, Microsoft'un uzantının sunucusunda bulduğu günlükleme koduyla kanıtlanmıştır; bu da kasıtlı bir tasarımı göstermektedir.

Uzantı ayrıca, yönlendirmelere, URL yeniden yazmaya ve kurallar yürütüldüğünde izleme yapmaya olanak tanıyan Chrome izinlerini talep ediyor.

"Uzantı, trafik yönlendirmeyi, URL yeniden yazmayı ve seçici istek filtrelemeyi sağlayan güçlü DNR izinleri talep ediyor; bu durum, beklenen AI asistanı davranışıyla tutarsızdır." diye ekliyor araştırmacılar.

Microsoft, uzantının kimlik bilgilerini hedef aldığına dair bir kanıt bulamasa da, onaylanmış veri toplama rutinleri, kapsamlı profilleme yapma olanağı sunarak potansiyel istismar yolları oluşturuyor.

"flkebkiofojicogddingbdmcmkpbplcd" kimlik numarasına sahip uzantıyı yükleyenlerin, uzantıyı tarayıcılarından kaldırması ve kritik hesap şifrelerini değiştirmeleri önerilmektedir.

Siber güvenlik ekipleri, başarılı saldırıların %54'ünü kaydederken, sadece %14'ünden haberdar olmaktadır. Geri kalanlar, çevrenizde görünmeden geçmektedir.

Picus'un beyaz kitabı, ihlal ve saldırı simülasyonlarının SIEM ve EDR kurallarınızı nasıl test ettiğini gösteriyor; böylece tehditlerin tespit edilmeden kaymasına engel oluyorsunuz.