मुख्य तथ्य
- Chrome वेब स्टोर पर अधिकांश एक्सटेंशन के लिए खतरनाक अनुमतियों की आवश्यकता होती है जिनका दुर्भावनापूर्ण उद्देश्यों के लिए दुरुपयोग किया जा सकता है।
- सभी वेब ब्राउज़र स्वच्छंद एक्सटेंशन की समस्या से निपटने का प्रयास कर रहे हैं।
- Google का मेनिफेस्ट V3 एक ऐसा समाधान है जो कुछ मुद्दों से निपटता है लेकिन एक्सटेंशन के लिए उपलब्ध अनुमतियों में शासन करने के लिए बहुत कम है।
उस वर्तनी-जांच ब्राउज़र एक्सटेंशन को याद रखें जिसने आपके द्वारा लिखी गई हर चीज़ को पढ़ने और उसका विश्लेषण करने की अनुमति मांगी थी? साइबर सुरक्षा विशेषज्ञों ने चेतावनी दी है कि इस बात की बहुत अधिक संभावना है कि कुछ एक्सटेंशन वेब ब्राउज़र में आपके द्वारा डाले गए पासवर्ड को चुराने के लिए आपकी सहमति का दुरुपयोग कर रहे हैं।
उपयोगकर्ताओं को वेब एक्सटेंशन के खतरों की सराहना करने में मदद करने के लिए, डिजिटल सुरक्षा कंपनी टैलोन ने क्रोम वेब स्टोर का विश्लेषण करके रिपोर्ट किया है कि दसियों हज़ार एक्सटेंशन के पास चिंताजनक अनुमतियों तक पहुंच है, जैसे सभी विज़िट की गई साइटों पर डेटा बदलने की क्षमता, फ़ाइलें डाउनलोड करें, डाउनलोड गतिविधि एक्सेस करें, और बहुत कुछ।
“कई लोकप्रिय एक्सटेंशन उपयोगकर्ताओं को जोखिम में डालते हैं,” टैलोन साइबर सुरक्षा के सह-संस्थापक और सीटीओ ओहद बोब्रोव ने ईमेल पर लाइफवायर को समझाया। "[यहां तक कि] सौम्य एक्सटेंशन में उनके कोड, या आपूर्ति श्रृंखला में कमजोरियां हो सकती हैं, और दुर्भावनापूर्ण अभिनेताओं द्वारा अधिग्रहण के लिए अतिसंवेदनशील हो सकते हैं।"
वेवर्ड एक्सटेंशन
Talon का तर्क है कि एक्सटेंशन अपने उपयोगकर्ताओं को बहुत महत्व देते हैं, और वेब ब्राउज़र में कई उपयोगी सुविधाएँ लाते हैं जैसे कि विज्ञापन-अवरोधन, वर्तनी जाँच, पासवर्ड प्रबंधन, और बहुत कुछ। हालांकि, इन कार्यात्मकताओं को लाने के लिए, एक्सटेंशन को ब्राउज़र, उसके व्यवहार और विज़िट की गई वेबसाइटों को संशोधित करने के लिए व्यापक अनुमतियों की आवश्यकता होती है।
“स्वाभाविक रूप से, तीसरे पक्ष के अभिनेताओं से नियंत्रण और पहुंच का यह स्तर उपयोगकर्ताओं के लिए महत्वपूर्ण सुरक्षा और गोपनीयता खतरे पैदा कर सकता है,” टैलोन ने समझाया।
कंपनी का कहना है कि Google की जांच प्रक्रिया के बावजूद, कई दुर्भावनापूर्ण एक्सटेंशन अंतराल से निकल जाते हैं और लाखों उपयोगकर्ताओं पर प्रतिकूल प्रभाव डालते हैं। इसके विश्लेषण से पता चला कि क्रोम वेब स्टोर के सभी एक्सटेंशन के 60% से अधिक के पास उपयोगकर्ता डेटा और गतिविधि को पढ़ने या बदलने की अनुमति है।
उदाहरण के लिए, टैलोन का कहना है कि वर्तनी और व्याकरण जांचकर्ता उपयोगकर्ता के पाठ का विश्लेषण करने के लिए वेब पेज के संदर्भ से चलने वाली स्क्रिप्ट को इंजेक्ट करने की अनुमति का अनुरोध करते हैं। वे आमतौर पर इनपुट फ़ील्ड का निरीक्षण करके या अन्य माध्यमों से उपयोगकर्ता के कीस्ट्रोक्स को लॉग करके ऐसा करते हैं। कंपनी का कहना है कि यह एक्सटेंशन को पासवर्ड और अन्य संवेदनशील डेटा सहित वेब पेज पर किसी भी जानकारी को एकत्र करने और निकालने की अनुमति देता है।
फिर एड-ब्लॉकिंग है, जो क्रोम वेब स्टोर के कुछ शीर्ष एक्सटेंशन बनाती है। इस कार्यक्षमता में पृष्ठ से तत्वों को हटाना शामिल है और वर्तनी-जांचकर्ताओं के समान अनुमतियों की आवश्यकता होती है।
यह अज्ञात है कि कौन सा डेटा निकाला गया था, लेकिन यह पासवर्ड सहित किसी भी पेज से संभावित रूप से कुछ भी चुरा सकता था।
इसी तरह, स्क्रीन-शेयरिंग और वीडियो-कॉन्फ्रेंस एक्सटेंशन को उनके इच्छित कार्य करने के लिए दी गई अनुमतियों का भी उपयोगकर्ता की स्क्रीन और ऑडियो को कैप्चर करने के लिए दुरुपयोग किया जा सकता है।
"पिछले कुछ महीनों में यूब्लॉक ओरिजिन में दो कमजोरियां पाई गईं, जिसने हमलावरों को सभी साइटों पर डेटा को पढ़ने और बदलने और संवेदनशील उपयोगकर्ता जानकारी चुराने के लिए एक्सटेंशन की अनुमति का फायदा उठाने की अनुमति दी," बोब्रोव ने हमें बताया।
"यूब्लॉक ओरिजिन जैसे विज्ञापन अवरोधक बेहद लोकप्रिय हैं और आम तौर पर उपयोगकर्ता द्वारा देखे जाने वाले प्रत्येक पृष्ठ तक उनकी पहुंच होती है। पर्दे के पीछे, वे समुदाय द्वारा प्रदान की गई फ़िल्टर सूचियों द्वारा संचालित होते हैं - सीएसएस चयनकर्ता जो निर्धारित करते हैं कि किन तत्वों को ब्लॉक करना है। ये सूचियों पर पूरी तरह से भरोसा नहीं किया जाता है, इसलिए वे दुर्भावनापूर्ण नियमों को उपयोगकर्ता डेटा चोरी करने से रोकने के लिए विवश हैं, "सुरक्षा शोधकर्ता गैरेथ हेयस ने लिखा, क्योंकि उन्होंने पासवर्ड चोरी करने के लिए एक्सटेंशन में कमजोरियों का उपयोग करके प्रदर्शन किया था।
बोब्रोव ने यह भी साझा किया कि 2019 में लोकप्रिय द ग्रेट सस्पेंडर एक्सटेंशन, जिसके दो मिलियन से अधिक उपयोगकर्ता थे, को एक दुर्भावनापूर्ण अभिनेता द्वारा खरीदा गया था, जिसने बिना समीक्षा किए, दूरस्थ रूप से होस्ट किए गए कोड को चलाने के लिए स्क्रिप्ट को इंजेक्ट करने के लिए इसकी अनुमति का फायदा उठाया। वेब पेजों में।
"यह अज्ञात है कि कौन सा डेटा निकाला गया था," उन्होंने कहा, "लेकिन यह पासवर्ड सहित किसी भी पृष्ठ से संभावित रूप से कुछ भी चुरा सकता था।"
कोई वास्तविक समाधान नहीं
बोब्रोव का कहना है कि क्रोम और वस्तुतः अन्य सभी प्रमुख वेब ब्राउज़र एक्सटेंशन द्वारा उत्पन्न सुरक्षा जोखिम को नियंत्रित करने के लिए काम कर रहे हैं, न केवल उनकी जांच प्रक्रिया में सुधार करके बल्कि कुछ एक्सटेंशन की क्षमताओं को सीमित करके भी।
ऐसा ही एक हालिया कदम बोब्रोव बताते हैं कि Google का मेनिफेस्ट V3. उनका कहना है कि औसत उपयोगकर्ता के लिए, मेनिफेस्ट V3 एक्सटेंशन में सबसे अधिक ध्यान देने योग्य अंतर दूरस्थ रूप से होस्ट किए गए कोड पर पूर्ण प्रतिबंध और एक्सटेंशन वेब अनुरोधों को संशोधित करने के तरीके में बदलाव है।हालांकि, वह कहते हैं कि विज्ञापन-अवरोधकों को गंभीर रूप से बाधित करने के लिए मेनिफेस्ट V3 की आलोचना की गई है।
"सबसे महत्वपूर्ण रुझान सुरक्षा अंतराल को बंद कर रहे हैं, अंतिम उपयोगकर्ता दृश्यता और नियंत्रण में वृद्धि कर रहे हैं (उदाहरण के लिए, कौन सी साइटें एक्सटेंशन चलाने की अनुमति देती हैं), और एक्सटेंशन से अप्राप्य कोड पर प्रतिबंध लगा रही हैं," बोब्रोव ने कहा। "इनमें से कुछ परिवर्तन Google के मेनिफेस्ट V3 में शामिल हैं। हालांकि, इनमें से कोई भी परिवर्तन नाटकीय रूप से एक्सटेंशन के लिए उपलब्ध अनुमतियों को नहीं बदलता है।"
