Google dan Microsoft Hapus ModHeader dengan 1,6 Juta Instalasi Setelah Kolektor Tersembunyi Ditemukan
Google dan Microsoft telah menarik ekstensi ModHeader, sebuah ekstensi populer untuk mengedit header HTTP yang memiliki sekitar 1,6 juta instalasi di Chrome dan Edge, setelah peneliti keamanan menemukan adanya kolektor riwayat browsing tersembunyi di dalam versi resmi ekstensi tersebut.
Kolektor ini dalam keadaan dormant atau tidak aktif karena daftar izin kosong yang membuatnya terus dalam posisi mati. Tidak ada bukti yang menunjukkan bahwa kolektor tersebut pernah mengumpulkan atau mengirimkan data domain browsing pengguna.
Kolektor Tersembunyi dan Cara Kerjanya
Penemuan ini berasal dari analisis Stripe OLT, sebuah perusahaan keamanan asal Inggris, yang memverifikasi kode ModHeader terhadap tanda tangan resmi Google Web Store dan memastikan kolektor tersebut memang terdapat pada ekstensi asli, bukan versi palsu.
Analisis ini mencakup versi Chrome dengan sekitar 900.000 pengguna, sementara data pihak ketiga memperkirakan ada sekitar 700.000 pengguna pada Edge. Microsoft menarik listing Edge pada 3 Juli, dan Google menghapus listing Chrome pada 10 Juli 2026.
Versi 7.0.18 dari ModHeader (ID ekstensi idgpnmonknjnojddfkpgkljpfnnfcklj) masih menjalankan fungsi pengeditan header HTTP seperti yang dijanjikan. Namun, kode latar belakang yang telah diminifikasi juga memuat sistem kedua yang pada saat pertama kali dijalankan akan membangun sidik jari perangkat dan memuat kunci enkripsi yang telah ditetapkan.
Ketika pengguna menjelajah, ekstensi akan mengambil domain dari setiap halaman yang dibuka, mengenkripsinya, dan menyimpan secara lokal hingga 1.000 domain berbeda. Sekali sehari, sistem penjadwalan akan menggabungkan daftar terenkripsi tersebut dengan sidik jari perangkat dan mengirimkannya ke api.stanfordstudies[.]com, kemudian menghapus salinan lokal yang tersimpan.
Waktu pengiriman diatur secara acak agar tidak semua browser mengirim data sekaligus jika fungsi tersebut diaktifkan. Peneliti lain, seperti HackIndex dan Yunus Aydin, juga mengonfirmasi adanya pipeline pengumpulan data serupa pada versi 7.0.17 dan 7.0.18.
Daftar Izin Kosong dan Potensi Aktifasi
Kolektor hanya akan berjalan jika browser pengguna terdaftar dalam daftar izin internal. Daftar ini dikirim dalam keadaan kosong sehingga fungsi pengumpulan domain tidak pernah aktif. Namun, mengisi daftar tersebut adalah perubahan kecil yang bisa dilakukan lewat pembaruan rutin tanpa perlu izin baru atau konfirmasi pengguna.
Semua elemen penting seperti kunci enkripsi, URL endpoint, pengatur waktu, dan logika penyimpanan sudah ada di perangkat pengguna, yang berarti ekstensi tersebut siap untuk mengaktifkan pengumpulan data kapan saja melalui pembaruan biasa.
Meskipun kolektor domain utama tidak berjalan, ekstensi ini melakukan aktivitas lain yang mencurigakan, seperti mengirimkan ping ke domain kedua extensions-hub[.]com setiap kali instalasi, pembaruan, dan penghapusan. Selain itu, skrip yang berjalan pada setiap halaman juga mencatat metadata permintaan secara lokal dalam bentuk teks biasa.
Alasan Penghapusan dan Risiko Keamanan
ModHeader sebelumnya mendapat laporan mengganggu karena menyisipkan iklan ke hasil pencarian sejak 2023 dan beralih ke model berbasis iklan. Identitas pengambil alih ekstensi ini tidak jelas dan pengembang asli belum memberikan respons terkait temuan ini.
Menurut Stripe OLT, domain stanfordstudies[.]com tidak ada hubungannya dengan Universitas Stanford dan merupakan domain lama yang digunakan untuk menyamarkan backend OpenSearch. Sedangkan extensions-hub[.]com digunakan untuk tujuan iklan dan keduanya mengarah ke server yang sama di Amazon, menandakan kemungkinan dikelola oleh operator yang sama.
Beberapa sinyal lemah menunjukkan kemungkinan operator berbahasa Mandarin, seperti penggunaan lokal Simplified Chinese dan penyedia email asal Tiongkok, namun belum dapat dipastikan kelompok mana yang bertanggung jawab.
Apa yang Harus Dilakukan Pengguna dan Pertahanan
- Hapus ModHeader dari Chrome dan Edge jika masih terpasang, karena browser mungkin sudah menonaktifkannya secara otomatis.
- Pastikan data yang disimpan oleh ekstensi telah terhapus sepenuhnya, termasuk memeriksa pengaturan sinkronisasi profil dan kebijakan ekstensi yang dikelola agar ekstensi tidak terpasang ulang secara otomatis.
- Jika Anda pernah memasukkan data sensitif seperti API key, token akses, atau cookie sesi ke dalam ekstensi ini, segera ganti atau putar ulang data tersebut.
- Untuk tim keamanan dan administrator jaringan, disarankan memblokir dan memantau domain stanfordstudies[.]com dan extensions-hub[.]com pada DNS dan proxy, serta mencari aktivitas POST ke api.stanfordstudies[.]com/app/log.
Stripe OLT juga telah menyediakan kueri hunting siap pakai untuk Defender dan Sentinel guna mendeteksi aktivitas terkait ModHeader.
Analisis Redaksi
Menurut pandangan redaksi, kasus ModHeader ini membuka kembali peringatan serius mengenai software supply chain dan risiko ekstensi browser yang populer namun kurang diawasi secara mendalam. Ekstensi yang sudah dipercaya jutaan pengguna bisa menjadi pintu masuk pengumpulan data rahasia yang tersembunyi dan siap diaktifkan kapan saja lewat pembaruan rutin.
Meski kolektor data utama saat ini belum aktif, desainnya yang memungkinkan pengumpulan data secara diam-diam menunjukkan bahwa proses verifikasi dan pengawasan toko ekstensi perlu diperketat, terutama untuk mendeteksi kode yang tidak aktif saat review namun bisa diaktifkan kemudian.
Pengguna harus lebih waspada dan rutin memeriksa izin serta aktivitas ekstensi yang terpasang. Sementara itu, industri keamanan harus mengembangkan teknik analisis yang mampu mengungkap fungsi tersembunyi dan potensi bahaya ekstensi sebelum dampak negatifnya menyebar luas.
Kasus ini juga menjadi pengingat pentingnya transparansi dan komunikasi dari pengembang ekstensi terhadap pengguna, terutama terkait kebijakan pengumpulan data yang mungkin berubah setelah perubahan kepemilikan atau pembaruan.
Untuk perkembangan terbaru dan analisis mendalam lainnya, pantau terus berita keamanan teknologi di media terpercaya seperti The Hacker News dan sumber resmi industri teknologi.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0