إضافة ModHeader تواجه أزمة أمنية بعد حذفها من متجري جوجل كروم ومايكروسوفت إيدج، رغم وصولها إلى نحو 1.6 مليون تثبيت بسبب كود خفي لجمع سجل التصفح.
لماذا حذفت جوجل ومايكروسوفت إضافة ModHeader؟
التحقيق الأمني كشف أن النسخة الرسمية من ModHeader لم تكن مزيفة، بل احتوت فعلاً على مكوّن مخفي قادر على جمع نطاقات المواقع التي يزورها المستخدم. هذا الاكتشاف دفع مايكروسوفت إلى إزالة الإضافة من متجر Edge في 3 يوليو، ثم تبعتها جوجل بحذفها من متجر Chrome في 10 يوليو.
المثير هنا أن الوظيفة الأساسية للإضافة ظلت تعمل بشكل طبيعي، إذ واصلت تعديل رؤوس HTTP كما هو معلن. لكن داخل الكود المصغّر وُجد مسار ثانٍ صُمم لتجميع البيانات بطريقة لا يلاحظها المستخدم العادي.
كيف يعمل كود التجسس داخل إضافة ModHeader؟
بحسب التحليل، يبدأ النظام ببناء بصمة للجهاز عند التشغيل الأول، ثم يحمّل مفتاح تشفير ثابتاً داخل الإضافة. بعد ذلك، يلتقط اسم النطاق من كل صفحة يفتحها المستخدم ويخزنه محلياً بعد تشفيره.
- إنشاء بصمة فريدة للجهاز عند أول تشغيل
- تشفير أسماء النطاقات التي يزورها المستخدم
- تخزين ما يصل إلى 1000 نطاق مختلف محلياً
- جدولة إرسال البيانات مرة واحدة يومياً
- مسح السجل المحلي بعد اكتمال الرفع
الأخطر أن الإرسال كان موجهاً إلى نطاق خارجي مخصص لاستقبال البيانات، مع توقيت مختلف لكل مستخدم حتى لا ترسل جميع المتصفحات المعلومات في لحظة واحدة. هذا التصميم يجعل اكتشاف النشاط أكثر صعوبة أمام أدوات الفحص الآلي.
هل كان الكود نشطاً فعلاً؟
حتى الآن، لا يوجد دليل مؤكد على أن بيانات التصفح غادرت أجهزة المستخدمين فعلاً. السبب أن قائمة السماح الداخلية التي تحدد من يتم استهدافه كانت فارغة، ما يعني أن عملية الجمع الفعلية لم تبدأ رغم وجود كل البنية البرمجية الجاهزة لذلك.
ما البيانات التي كانت الإضافة تجمعها بالفعل؟
رغم أن نظام جمع النطاقات ظل خاملاً، فإن الإضافة لم تكن صامتة بالكامل. فقد كانت ترسل عند التثبيت أو التحديث أو الإزالة معلومات أساسية عن المنتج والإصدار ونوع المتصفح إلى نطاق آخر منفصل.
كما أن سكربت يعمل على كل صفحة كان يسجل بعض بيانات الطلبات محلياً بصيغة نصية غير مشفرة. وهنا تظهر المشكلة الحقيقية: حتى لو لم يُفعّل المسار الأخطر، فإن وجود هذه المكونات داخل إضافة واسعة الانتشار يرفع مستوى المخاطر بشكل واضح.
- معلومات عن المتصفح المستخدم
- رقم إصدار الإضافة
- أحداث التثبيت والتحديث والحذف
- بيانات طلبات محفوظة محلياً
ماذا يعني ذلك لمستخدمي جوجل كروم ومايكروسوفت إيدج؟
الحالة تكشف أن الشعبية والتوقيع الرسمي داخل المتاجر لا يكفيان دائماً لضمان الأمان. بعض أدوات الفحص منحت الإضافة تقييماً منخفض المخاطر، لأن البيانات كانت مشفرة ولأن خاصية الرفع كانت معطلة، ما صعّب رصد السلوك الخبيث في بيئة الاختبار.
وفقاً لتقرير تيكبامين، على المستخدمين الذين ثبتوا إضافة ModHeader سابقاً حذفها فوراً، ثم مراجعة الإضافات المشابهة وتقليل الأذونات غير الضرورية. كما يُنصح بمسح بيانات المتصفح المخزنة محلياً إذا كانت الإضافة مستخدمة خلال الفترة الماضية.
في النهاية، تؤكد أزمة إضافة ModHeader أن أمن الإضافات لا يقل أهمية عن أمن النظام نفسه، خصوصاً مع استخدام ملايين الأشخاص لمتصفحات كروم وإيدج يومياً. ولهذا تتابع تيكبامين مثل هذه القضايا لأنها تمس الخصوصية الرقمية بشكل مباشر.