Google zararlı eklenti yüklenmesini engelleyecek yeni adımlar atıyor. Yanlışlıkla olsa bile söz konusu eklentilerin yüklenmesini istemeyen şirket, servislerinin eklentilere yönelik yaklaşımında da bazı değişiklikler gerçekleştirdi. Bu doğrultuda kullanıcılara yeni uyarılarda bulunacak olan Google, eklentiler için de yeni bir doğrulama sistemi geliştirdi. Google servislerine bağlanacak olan uygulamaları daha yakından izleyecek olan şirket, şüpheli gördüğü uygulamalar konusunda da daha fazla aksiyon alacak.
Geçtiğimiz mayıs ayında Google Drive’a yapılan sofistike phishing saldırısı, Google’ın söz konusu değişiklikleri gerçekleştirmesinin temel nedeni gibi görünüyor. Söz konusu saldırıda kullanıcılara bir dosyaya katkıda bulunmaları için davet gönderilmişti. Zararlı eklenti “Google Docs” adını taşıdığı için Google tarafından kontrol edilmezken, pek çok kullanıcıyı da erişim izni vermeleri için kandırmayı başarmıştı.
Erişim izni alan zararlı yazılım, kişinin adres defterindeki herkese aynı talebi göndermiş ve bu da uygulamanın hızlı biçimde yayılmasını sağlamıştı. Eklenti on binlerce kişiye ulaştıktan sonra Google tarafından kara listeye alınabilmişti.
Google zararlı eklenti ile saldırı gerçekleştirmeyi engellemeyi amaçlıyor
Bundan böyle bu tarz bir saldırıyı gerçekleştirmek çok daha zor olacak. Saldırının ardından geliştirici kayıt sistemlerini sıkılaştıran Google, anonim kişilerin bilinmeyen eklentileri Google hesaplarına bağlamasını zorlaştırmıştı. Yapılan yeni değişiklik ise güvenliğin dozunu biraz daha artırıyor. Yeni sistem, kullanıcıları bilinmeyen uygulamalar verilere erişmeye çalıştığında hemen uyaracak.
Zararlı eklentiler hem Google hem de diğer platformlar için ciddi bir risk niteliği taşıyor. Yaşanan son olaylar da bu riskin ciddiyetini gözler önüne seriyor. Bu tarz saldırılarda uzmanlaşan güvenlik grubu OurMine tarafından gerçekleştirilen saldırılarla Sundar Pichai, Jack Dorsey ve Sony Music’e ait Twitter hesaplarının kontrolü ele geçirilmişti. Tüm saldırılarda hedef hesabın kontrolünü ele geçirmek için üçüncü taraf uygulamalar kullanılmıştı.