Dikkat: Tarayıcı Eklentileri Şifrenizi Açığa Çıkarıyor
Tarayıcınızda kaç tane eklenti (uzantı) yüklü? Bir reklam engelleyici, bir gramer düzeltici, belki de favori alışveriş asistanınız… Bu küçük yazılım parçaları hayatımızı kolaylaştırıyor, ancak son yapılan araştırmalar ve siber güvenlik raporları, bu eklentilerin dijital yaşamımızdaki en büyük güvenlik açıklarından biri olabileceğini gösteriyor.
Özellikle 2025 ve 2026 başlarında yayımlanan akademik çalışmalar ve güvenlik raporları (University of Wisconsin-Madison araştırmaları dahil), tarayıcı eklentilerinin çalışma prensibindeki temel bir sorunu gözler önüne serdi: Düz Metin (Plain Text) Depolama.
Bu makalede, masum görünen bir eklentinin nasıl olup da banka şifrelerinizi, API anahtarlarınızı veya kişisel verilerinizi “gümüş tepside” bilgisayar korsanlarına sunabileceğini derinlemesine inceleyeceğiz.
Görünmez Tehlike: Kaynak Kodundaki Sırlar
Sorunun temeli iki ana başlıkta toplanıyor: Web sitelerinin kaynak kodunda bıraktığı şifreler ve eklenti geliştiricilerinin kendi ihmalleri.
1. Web Sitelerinin HTML Kaynak Kodları
Bir web sitesine giriş yaparken şifrenizi ****** şeklinde maskelenmiş olarak görürsünüz. Ancak tarayıcınızın arka planında, bu veri “Document Object Model” (DOM) dediğimiz yapıda işlenir. Wisconsin-Madison Üniversitesi araştırmacıları, popüler web sitelerinin önemli bir kısmının (%15’e varan oranlarda), şifreleri HTML kaynak kodunda düz metin olarak sakladığını tespit etti.
Sorun şu ki; tarayıcınıza “Tüm web sitelerindeki verileri okuma ve değiştirme” izni verdiğiniz bir eklenti (örneğin basit bir “Karanlık Mod” eklentisi), bu DOM yapısına tam erişime sahiptir. Yani, siz şifrenizi yazarken eklenti, o anki HTML kodunu tarayarak şifrenizi açık bir metin dosyası okur gibi görebilir. Bunun için bir “Keylogger” (tuş kaydedici) olmasına bile gerek yoktur; sadece sayfadaki input alanlarını okuması yeterlidir.
2. Eklentilerin Kendi “Unuttuğu” Veriler
Daha da endişe verici olan, eklentilerin kendi çalışma dosyalarıdır. Bir eklenti indirdiğinizde, aslında bilgisayarınıza küçük bir yazılım paketi (JavaScript, HTML, JSON dosyaları) indirirsiniz.
Pek çok amatör veya güvenlik bilinci düşük geliştirici, eklentinin çalışması için gereken hassas API anahtarlarını (Amazon AWS, Google Cloud veya Azure erişim anahtarları gibi) eklentinin kaynak koduna sabit kod (hardcoded) olarak gömer. Bir saldırgan, sadece “İncele” (Inspect) diyerek veya eklenti dosyasını bir metin editörüyle açarak bu anahtarları çalabilir ve geliştiricinin bulut hesabını ele geçirebilir.
Daha kötüsü, bazı CRM veya üretkenlik eklentileri, sizin giriş yaptığınız hesap bilgilerini tarayıcının localStorage (yerel depolama) alanında şifrelemeden saklar. Bilgisayarınıza sızan basit bir zararlı yazılım, bu klasörleri tarayarak tüm oturumlarınızı çalabilir.
Manifest V3 ve Güvenlik Yanılsaması
Google, Chrome eklentileri için “Manifest V3” adlı yeni bir sisteme geçti. Bu sistemin amacı güvenliği artırmak ve eklentilerin yetkilerini kısıtlamaktı. Ancak uzmanlar, bunun “Düz Metin” sorununu tam olarak çözmediği konusunda hemfikir.
Manifest V3, uzaktan kod yürütmeyi zorlaştırsa da, eklentilerin DOM (sayfa içeriği) ile etkileşimini tamamen kesmiyor. Bir şifre yöneticisi veya form doldurucu kullanıyorsanız, bu eklentilerin çalışabilmesi için sayfa içeriğini okuması zorunludur. İşte bu zorunluluk, kötü niyetli bir eklentinin aynı sayfadaki diğer verileri de okumasına olanak tanır.
Teknik Karşılaştırma: Güvenli vs. Riskli Depolama
Aşağıdaki tablo, bir eklentinin verilerinizi nasıl sakladığını ve bunun yarattığı risk seviyelerini göstermektedir.
| Depolama Yöntemi | Teknik Açıklama | Risk Seviyesi | Saldırı Vektörü |
|---|---|---|---|
| Plain Text (Düz Metin) | Verilerin localStorage veya kod içinde şifresiz saklanması. | KRİTİK | Dosya sistemi taraması, XSS saldırıları, Fiziksel erişim. |
| DOM Okuma | Sayfa kaynağındaki <input type="password"> değerinin okunması. | YÜKSEK | Kötü niyetli eklenti güncellemesi, İzin suistimali. |
| Hardcoded Secrets | API anahtarlarının .js dosyalarına gömülmesi. | YÜKSEK | Tersine mühendislik (Reverse Engineering), Kaynak kod incelemesi. |
| Encrypted Storage | Verilerin chrome.storage API’si ile şifreli saklanması. | DÜŞÜK | Sadece işletim sistemi seviyesinde derin erişim gerektirir. |
| Session Memory | Verilerin sadece RAM’de tutulup, tarayıcı kapanınca silinmesi. | GÜVENLİ | Bellek analizi (Memory Dump) – çok zor bir yöntemdir. |
Hangi Eklentiler Risk Altında?
Lifehacker ve güvenlik firmalarının raporlarına göre, özellikle şu kategorilerdeki eklentilere dikkat edilmeli:
- PDF Dönüştürücüler ve Düzenleyiciler: Genellikle dosya içeriğine tam erişim isterler ve verileri sunucularına şifresiz gönderebilirler.
- Ücretsiz VPN Eklentileri: Trafiğinizi şifrelemesi gerekirken, çoğu zaman kullanıcı verilerini ve gezinti geçmişini düz metin olarak kaydederler.
- Terk Edilmiş Eklentiler: Son güncellemesini 2-3 yıl önce almış bir eklenti, modern güvenlik standartlarından yoksundur ve yeni keşfedilen açıklara karşı savunmasızdır.
- Alışveriş ve Kupon Asistanları: Sürekli olarak gezdiğiniz sayfaları (banka ödeme sayfaları dahil) taradıkları için, bir güvenlik açığı durumunda en büyük risk bu araçlardadır.
Kendinizi Nasıl Korursunuz?
Bu dijital mayın tarlasında güvende kalmak için uygulamanız gereken adımlar şunlardır:
- Eklenti Temizliği Yapın: Tarayıcınızda yüklü olan ve artık kullanmadığınız tüm eklentileri silin. Ne kadar az kod, o kadar az risk.
- İzinleri Denetleyin: Chrome’da
Ayarlar > Uzantılarmenüsüne gidin. Bir hesap makinesi eklentisinin “Tüm web sitelerindeki verileri okuma” iznine ihtiyacı yoktur. İzinleri “Tıklandığında” veya “Sadece belirli sitelerde” çalışacak şekilde kısıtlayın. - Tarayıcıyı Şifre Yöneticisi Olarak Kullanmayın: Tarayıcının kendi şifre kaydetme özelliği (veya buna entegre eklentiler) yerine, verileri cihazınızda yerel olarak şifreleyen harici şifre yöneticileri (1Password, Bitwarden gibi) kullanın. Bu araçlar, verileri tarayıcı belleğinde değil, kendi şifreli kasalarında tutar.
- Geliştirici Modunu Kapalı Tutun: Eğer geliştirici değilseniz, tarayıcınızın “Geliştirici Modu”nu kapalı tutun. Bu mod, eklentilerin daha derin sistem dosyalarına erişmesini kolaylaştırabilir.
Sıkça Sorulan Sorular
1. Hangi tarayıcılar bu açıktan etkileniyor?
Bu sorun sadece Chrome’a özgü değildir. Chromium tabanlı (Edge, Brave, Opera) tarayıcılar ve Firefox da benzer eklenti mimarilerini kullandığı için risk altındadır.
2. Bir eklentinin güvenli olup olmadığını nasıl anlarım?
Kesin bir yolu olmamakla birlikte; “Öne Çıkanlar” rozetine sahip olması, son güncelleme tarihinin yeni olması ve geliştiricinin doğrulanmış bir yayıncı olması güvenilirlik işaretidir.
3. Antivirüs programım bu eklentileri yakalar mı?
Çoğu zaman hayır. Bu eklentiler teknik olarak “virüs” değildir; yasal izinlerle çalışan ancak kötü tasarlanmış veya kötü niyetli yazılımlardır. Antivirüsler genellikle imza tabanlı çalıştığı için bu tür davranışsal açıkları kaçırabilir.
4. “İncele” (Inspect Element) ile şifremi ben de görebilir miyim?
Evet. Bir giriş sayfasında şifre kutusuna sağ tıklayıp “İncele” derseniz ve type="password" kısmını type="text" olarak değiştirirseniz şifreniz görünür olur. Kötü niyetli eklentiler de arka planda tam olarak bu mantıkla çalışır.
5. Manifest V3 güncellemesi beni korumaz mı?
Manifest V3 güvenlik açısından büyük bir adımdır ancak sihirli bir değnek değildir. Eklentilerin sayfa içeriğini okuma yeteneği devam ettiği sürece, “DOM tabanlı veri sızıntısı” riski her zaman vardır.
Önemli Çıkarımlar
Tarayıcı eklentileri, dijital yaşamın vazgeçilmez yardımcıları olsa da, onlara verdiğimiz “Tüm verileri okuma” izni, banka şifrelerimizden kişisel yazışmalarımıza kadar her şeyi düz metin olarak savunmasız bırakabilir. Güvenliğiniz için kullanılmayan eklentileri kaldırın, izinleri kısıtlayın ve kritik işlemlerinizde (bankacılık vb.) eklentisiz bir “Gizli Pencere” kullanmayı alışkanlık haline getirin.
Bunları da Okuyun:
- Casus VPN Uygulamaları Tam Liste (18 Popüler VPN)
- Firefox Eklentilerinde GhostPoster Tehlikesi
- Yapay Zeka Tarayıcıları ve Gözetim Tuzağı
- Windows Kayıtlı Wi-Fi Şifresi Öğrenme
Kaynak: https://lifehacker.com
