Plugin Chrome terkenal SwitchyOmega memiliki celah keamanan, bagaimana mencegah plugin diubah?

Baru-baru ini, pengguna melaporkan bahwa plugin pengalih proxy populer Chrome, SwitchyOmega, mungkin memiliki risiko keamanan yang dapat mencuri kunci pribadi. Setelah diselidiki, ditemukan bahwa masalah ini sudah muncul sejak tahun lalu, namun beberapa pengguna mungkin tidak memperhatikan peringatan dan terus menggunakan versi plugin yang terkontaminasi, menghadapi ancaman serius seperti kebocoran kunci pribadi dan peretasan akun. Artikel ini akan menganalisis kejadian pemalsuan plugin ini dan membahas cara mencegah dan mengatasi risiko serupa.

Tinjauan Acara

Peristiwa ini awalnya berasal dari penyelidikan serangan. Pada 24 Desember 2024, seorang karyawan perusahaan menerima email phishing, yang mengakibatkan plugin browser yang mereka rilis disusupi kode jahat, berusaha mencuri Cookie dan kata sandi browser pengguna. Penyelidikan independen menemukan bahwa sudah ada lebih dari 30 plugin di toko plugin Google yang terkena serangan serupa, termasuk Proxy SwitchOmega (V3).

Email phishing mengklaim bahwa ekstensi browser perusahaan melanggar ketentuan terkait Google dan mengancam bahwa jika tidak segera mengambil tindakan, plugin akan dicabut. Karena merasa mendesak, karyawan tersebut mengklik tautan phishing dalam email dan memberikan izin kepada aplikasi OAuth bernama "Privacy Policy Extension". Begitu penyerang mendapatkan akses ke aplikasi OAuth, mereka dapat mengendalikan akun korban dari jarak jauh tanpa perlu kata sandi untuk memodifikasi data aplikasi.

Setelah penyerang mendapatkan kendali atas akun toko aplikasi Chrome, mereka mengunggah versi baru ekstensi yang berisi kode jahat, dan memanfaatkan mekanisme pembaruan otomatis Chrome, sehingga pengguna yang terpengaruh secara tidak sadar diperbarui ke versi berbahaya.

Plugin jahat terdiri dari dua file, di mana file worker.js akan menghubungkan ke server perintah dan kontrol, mengunduh konfigurasi dan menyimpannya di penyimpanan lokal Chrome, kemudian mendaftarkan pendengar untuk mendengarkan acara dari content.js. Versi jahat akan secara otomatis mengunduh dan menginstal kode jahat dalam waktu 31 jam setelah ekstensi ini diluncurkan di browser Chrome yang menjalankannya.

Laporan investigasi menunjukkan bahwa jumlah unduhan kumulatif dari plugin yang terpengaruh oleh serangan ini di toko Google telah melebihi 500.000 kali, dan lebih dari 2,6 juta perangkat pengguna telah dicuri data sensitifnya, yang menimbulkan risiko keamanan yang sangat besar bagi pengguna. Ekstensi yang telah dimanipulasi ini telah tersedia di toko aplikasi selama maksimal 18 bulan, sementara pengguna yang menjadi korban hampir tidak menyadari bahwa data mereka telah bocor.

Karena strategi pembaruan toko Chrome secara bertahap tidak mendukung plugin versi V2, dan plugin resmi asli SwitchyOmega adalah versi V2, maka juga termasuk dalam kategori yang tidak didukung. Versi berbahaya yang terkontaminasi adalah versi V3, dan akun pengembangnya berbeda dengan akun versi V2 asli. Oleh karena itu, tidak dapat dipastikan apakah versi tersebut dirilis oleh resmi, dan juga tidak dapat menentukan apakah akun resmi telah diserang oleh peretas yang kemudian mengunggah versi berbahaya, atau apakah penulis versi V3 sudah memiliki niat jahat.

Para ahli keamanan menyarankan pengguna untuk memeriksa ID plugin yang telah diinstal untuk memastikan apakah itu versi resmi. Jika ditemukan plugin yang terpengaruh telah diinstal, segera perbarui ke versi keamanan terbaru, atau hapus saja untuk mengurangi risiko keamanan.

Bagaimana cara mencegah plugin dari perubahan?

Ekstensi browser selalu menjadi titik lemah dalam keamanan siber. Untuk menghindari modifikasi plugin atau mengunduh plugin berbahaya, pengguna perlu mengambil tindakan perlindungan keamanan dari tiga aspek: instalasi, penggunaan, dan pengelolaan.

1. Hanya unduh plugin dari saluran resmi

   • Utamakan menggunakan toko resmi Chrome, jangan mudah percaya pada tautan unduhan pihak ketiga di internet.
   • Hindari menggunakan plugin "crack" yang tidak terverifikasi, banyak plugin modifikasi mungkin telah disisipkan pintu belakang.

2. Waspadai permintaan izin dari plugin

   • Berikan izin dengan hati-hati, beberapa plugin mungkin meminta izin yang tidak perlu, seperti mengakses riwayat penelusuran, clipboard, dll.
   • Ketika menghadapi plugin yang meminta untuk membaca informasi sensitif, harap tingkatkan kewaspadaan.

3. Secara berkala periksa plugin yang telah diinstal

   • Masukkan chrome://extensions/ di bilah alamat Chrome untuk melihat semua ekstensi yang terpasang.
   • Perhatikan waktu pembaruan terbaru dari plugin, jika plugin tidak diperbarui dalam waktu lama namun tiba-tiba merilis versi baru, perlu waspada kemungkinan telah dimanipulasi.
   • Periksa secara berkala informasi pengembang plugin, jika pengembang plugin berubah atau ada perubahan izin, perlu meningkatkan kewaspadaan.

4. Gunakan alat profesional untuk memantau aliran dana, untuk mencegah kerugian aset.

   • Jika mencurigai kebocoran kunci pribadi, Anda dapat menggunakan alat profesional untuk memantau transaksi di blockchain dan segera memahami aliran dana.

Bagi pengembang dan pemelihara plugin, pihak proyek harus mengambil langkah-langkah keamanan yang lebih ketat untuk mencegah risiko seperti modifikasi jahat, serangan rantai pasokan, dan penyalahgunaan OAuth:

1. Kontrol Akses OAuth

   • Batasi ruang lingkup otorisasi, pantau log OAuth, jika plugin perlu menggunakan OAuth untuk otentikasi, usahakan menggunakan mekanisme token jangka pendek + token penyegar, hindari penyimpanan token dengan hak akses tinggi dalam jangka panjang.

2. Meningkatkan keamanan akun Chrome Web Store

   • Chrome Web Store adalah satu-satunya saluran resmi untuk merilis plugin. Jika akun pengembang diretas, penyerang dapat memodifikasi plugin dan mengirimkannya ke semua perangkat pengguna. Oleh karena itu, penting untuk meningkatkan keamanan akun, seperti mengaktifkan 2FA dan menggunakan manajemen hak akses minimum.

3. Audit Berkala

   • Integritas kode plugin adalah inti dari pencegahan manipulasi oleh pihak proyek, disarankan untuk melakukan audit keamanan secara berkala.

4. Pemantauan Plugin

   • Pihak proyek tidak hanya harus memastikan bahwa versi baru yang dirilis aman, tetapi juga perlu memantau secara real-time apakah plugin telah disusupi. Jika ada masalah, segera tarik versi berbahaya, terbitkan pengumuman keamanan, dan beri tahu pengguna untuk mencopot versi yang terinfeksi.

Bagaimana cara menangani plugin yang telah disisipkan dengan kode jahat?

Jika menemukan bahwa plugin telah terinfeksi kode jahat, atau mencurigai bahwa plugin mungkin memiliki risiko, disarankan kepada pengguna untuk mengambil langkah-langkah berikut:

1. Segera hapus plugin

   • Masuk ke halaman pengelolaan ekstensi Chrome(chrome://extensions/), temukan plugin yang terpengaruh untuk dihapus.
   • Hapus data plugin secara menyeluruh untuk mencegah kode jahat yang tersisa terus berjalan.

2. Mengubah informasi sensitif yang mungkin bocor

   • Ganti semua kata sandi yang disimpan di browser, terutama yang terkait dengan bursa cryptocurrency dan akun bank.
   • Buat dompet baru dan pindahkan aset dengan aman (jika plugin mengakses dompet kripto).
   • Periksa apakah API Key telah bocor, dan segera cabut API Key yang lama, ajukan kunci baru.

3. Pindai sistem, periksa apakah ada pintu belakang atau malware.

   • Jalankan perangkat lunak antivirus atau alat anti-malware.
   • Periksa file Hosts, pastikan tidak diubah menjadi alamat server jahat.
   • Periksa mesin pencari dan halaman utama default browser, beberapa plugin berbahaya dapat mengubah pengaturan ini.

4. Memantau apakah ada aktivitas yang mencurigakan di akun

   • Periksa riwayat login bursa dan akun bank, jika menemukan login IP yang mencurigakan, segera ganti kata sandi dan aktifkan 2FA.
   • Periksa catatan transaksi dompet kripto, pastikan tidak ada transfer yang mencurigakan.
   • Periksa apakah akun media sosial telah diretas, jika ada pesan pribadi atau pos yang mencurigakan, segera ubah kata sandi.

5. Berikan umpan balik kepada pihak resmi, untuk mencegah lebih banyak pengguna menjadi korban

   • Jika menemukan plugin telah dimodifikasi, Anda dapat menghubungi tim pengembang asli atau melaporkannya ke pihak resmi Chrome.
   • Dapat menghubungi tim keamanan, mengeluarkan peringatan risiko, dan mengingatkan lebih banyak pengguna untuk memperhatikan keamanan.

Meskipun plugin browser dapat meningkatkan pengalaman pengguna, mereka juga dapat menjadi titik lemah bagi serangan hacker, membawa risiko kebocoran data dan kehilangan aset. Oleh karena itu, pengguna perlu tetap waspada sambil menikmati kenyamanan, dan mengembangkan kebiasaan keamanan yang baik, seperti berhati-hati dalam menginstal dan mengelola plugin, memeriksa izin secara berkala, serta memperbarui atau menghapus plugin yang mencurigakan tepat waktu. Sementara itu, pengembang dan pihak platform juga harus memperkuat langkah-langkah perlindungan keamanan untuk memastikan keamanan dan kepatuhan plugin. Hanya dengan usaha bersama antara pengguna, pengembang, dan platform, meningkatkan kesadaran keamanan dan menerapkan langkah-langkah perlindungan yang efektif, risiko dapat benar-benar diminimalkan, dan keamanan data serta aset dapat terjamin.