تخطى إلى المحتوى الرئيسي

إزالة ModHeader: جامع بيانات خامل يهدد 1.6 مليون مستخدم

فريق جلتش
منذ 3 ساعات0 مشاهدة4 دقائق
إزالة ModHeader: جامع بيانات خامل يهدد 1.6 مليون مستخدم

مقدمة تحليلية سحبت شركتا جوجل ومايكروسوفت، في يوليو 2026، إضافة ModHeader الشهيرة لتعديل رؤوس HTTP من متاجر إضافات Chrome و Edge. جاء هذا الإجراء بعد أن كشف باح

مقدمة تحليلية

سحبت شركتا جوجل ومايكروسوفت، في يوليو 2026، إضافة ModHeader الشهيرة لتعديل رؤوس HTTP من متاجر إضافات Chrome و Edge. جاء هذا الإجراء بعد أن كشف باحثون أمنيون عن وجود جامع لتاريخ التصفح مدمج في النسخة الرسمية من الإضافة. الإضافة، التي حصدت ما يقرب من 1.6 مليون عملية تثبيت عبر المتصفحين (900,000 على Chrome و 700,000 على Edge)، كانت تحتوي على رمز خبيث كامن، لم يتم تنشيطه قط بسبب قائمة سماح داخلية فارغة، ولم يظهر أي دليل على أنه قام بجمع أو إرسال أي نطاقات تصفح. التقرير الذي أصدرته شركة الأمن السيبراني البريطانية Stripe OLT أكد أن الجامع الخامل كان جزءًا لا يتجزأ من الإصدار الرسمي الموقع للإضافة، مما يطرح تساؤلات جدية حول فعالية مراجعات الأمان للمتاجر الكبرى. قامت مايكروسوفت بإزالة الإضافة من متجر Edge في 3 يوليو، تلتها جوجل بإزالتها من متجر Chrome في 10 يوليو، تاركةً ملايين المستخدمين في مواجهة تهديد محتمل بانتهاك الخصوصية.

التحليل التقني

النسخة 7.0.18 من ModHeader (معرّف الإضافة idgpnmonknjnojddfkpgkljpfnnfcklj) كانت لا تزال تؤدي وظيفتها المعلن عنها في تعديل رؤوس HTTP. ومع ذلك، احتوى نفس الكود الخلفي المصغّر على نظام ثانٍ معقد. عند التشغيل الأول، يقوم هذا النظام ببناء بصمة جهاز فريدة ويحمّل مفتاح تشفير مدمج. أثناء تصفح المستخدم، يلتقط النطاق من كل صفحة يتم فتحها، يشفرها، ويخزنها محليًا بحد أقصى 1000 نطاق مميز. يقوم مجدول يومي، مع تعويض زمني لكل عملية تثبيت لمنع إرسال البيانات بشكل متزامن، بتجميع القائمة المشفرة مع بصمة الجهاز، ويرسلها إلى api.stanfordstudies[.]com، ثم يمسح النسخة المحلية. وصف تحليلات مستقلة أجرتها HackIndex (للنسخة 7.0.18) والباحث يونس آيدين (للنسخة 7.0.17) نفس آلية العمل. كان تفعيل الجامع يعتمد على مطابقة المتصفح لإدخال ضمن قائمة سماح داخلية، والتي كانت تشحن فارغة. هذا الشرط كان يمنع تشغيل آلية جمع البيانات. إلا أن ملء هذه القائمة يتطلب تغييرًا بسيطًا، لا يستلزم أذونات جديدة أو موافقة من المستخدم، ويمكن تقديمه كتحديث روتيني. المفتاح المشفر، عنوان URL لنقطة النهاية، المجدول، ومنطق التخزين كانت جميعها موجودة بالفعل على الجهاز. لم يكن كل شيء خاملًا؛ عند التثبيت، التحديث، وإلغاء التثبيت، كانت الإضافة ترسل ping إلى نطاق ثانٍ، extensions-hub[.]com، مع معلومات عن المنتج، الإصدار، والمتصفح. كما قام نص برمجي يعمل على كل صفحة بتسجيل بيانات تعريف الطلبات الحقيقية إلى التخزين المحلي بنص عادي، مما يشير إلى أن هذا الجزء كان قيد التشغيل بالفعل. أظهرت المدققات الآلية تقييمًا منخفض المخاطر لـ ModHeader، وبعضها وصل إلى 95 من أصل 100. هذا يعكس قدرة التصميم على إحباط أنواع مختلفة من الفحوصات:
  • البيانات مشفرة، مما يجعل الماسحات ترى نصًا مشفرًا.
  • تحميل البيانات مقيد، مما يمنع بيئات الحماية (sandboxes) من اكتشاف أي عملية إرسال.
  • الكود الخبيث مصغّر ومدمج ضمن قاعدة كود مشروعة.
  • نقاط النهاية (endpoints) لم تكن ذات سمعة خبيثة معروفة لتثير التنبيهات.
  • الإضافة شعبية وموقعة، مما يمنحها ثقة مضللة.
ربطت Stripe OLT النطاقات المكتشفة ببنية تحتية حقيقية، حيث تبين أن stanfordstudies[.]com هو نطاق قديم معاد استخدامه يعمل كواجهة خلفية لـ OpenSearch، بينما extensions-hub[.]com معد للإعلان. تشير إشارات ضعيفة، مثل الإعدادات المحلية بالصينية المبسطة واستخدام الحرف الصيني 盐 (يان) لكلمة "salt" ومزود بريد من الصين، إلى مشغل ناطق بالصينية. لم يتم تحديد أي مجموعة بشكل قاطع.

السياق وتأثير السوق

تأتي هذه الحادثة في سياق يزداد فيه استغلال إضافات المتصفحات كنقاط ضعف في سلسلة التوريد البرمجية. الإشارات التحذيرية حول ModHeader ظهرت مبكرًا؛ ففي عام 2023، تلقت الإضافة شكاوى بشأن حقن إعلانات في نتائج البحث، وتحولت إلى نموذج دعم الإعلانات. هذا النمط يتشابه مع ما وصفه برايان كريبس في عام 2021 حول شراء إضافات شعبية وتحويلها بصمت إلى قنوات لجمع البيانات. شهد العام الحالي وحده اكتشاف مجموعة من إضافات Chrome تجمع البيانات تحت ستار "تحليلات مجهولة"، ومجموعة أخرى تنتحل شخصية Workday و NetSuite لسرقة ملفات تعريف الارتباط (session cookies). إن اعتماد ModHeader على آلية التشفير والبوابة المعلقة لرفع البيانات يمثل تطورًا في أساليب التخفي، مما يزيد من صعوبة الكشف عن هذه التهديدات بواسطة أنظمة الفحص التقليدية. تحتاج إضافات تعديل رؤوس HTTP ومديري ملفات تعريف الارتباط إلى صلاحيات واسعة للعمل، وعندما تُكسر الثقة في هذه الأدوات، يكون نطاق الضرر واسعًا. فشل المدققات الآلية في تحديد ModHeader كخطر حقيقي، حيث قيمتها بـ 95 من 100، يسلط الضوء على فجوة حرجة في قدرات الكشف الحالية ضد تهديدات البرمجيات الخبيثة المتطورة التي تستخدم مسارات الكود الخاملة ونقاط النهاية الجديدة التي يمكن تنشيطها عبر تحديث روتيني.

رؤية Glitch4Techs

حادثة ModHeader ليست مجرد سحب إضافة أخرى؛ إنها إدانة مباشرة لنموذج أمان إضافات المتصفحات الحالي، وتحديداً الاعتماد المفرط على الفحوصات الآلية وحالة "الناشر الموثوق". الفشل الجوهري يكمن في عجز المنصات الكبرى مثل جوجل ومايكروسوفت عن اكتشاف تكتيكات التهرب المعقدة والمتعددة الطبقات، حيث يتم تجهيز الوظائف الخبيثة مسبقًا وتظل كامنة، لتتطلب فقط تحديثًا ثانويًا بدون طلب أذونات إضافية لتفعيلها. أدوات الصناعة الحالية غير كافية بشكل واضح ضد خصم يخطط للتهرب منذ البداية، بدلاً من استخدام حمولة خبيثة صريحة وبسيطة. المشكلة ليست في "الجامع الخامل" بحد ذاته، بل في الإشراف المنهجي الذي سمح لمكون جاهز للتجسس والعمل بصمت بالوصول إلى أكثر من مليون متصفح، متجاوزًا تقييمات "منخفض المخاطر".

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.

مقالات قد تهمك