Close Menu
    Subscribe
    Saturday, January 3

    প্রতিবেদন: ৫৭টি তালিকাভুক্ত নয় এমন ক্রোম এক্সটেনশনের কারণে ৬ মিলিয়ন ব্যবহারকারী কুকি চুরির শিকার হয়েছেন, ট্র্যাকিং ঝুঁকির সম্মুখীন হয়েছেন

    DeskBy No Comments4 Mins Read

    এন্টারপ্রাইজ সিকিউরিটি ফার্ম সিকিউর অ্যানেক্স ৫৭টি ব্রাউজার এক্সটেনশনের একটি নেটওয়ার্ক শনাক্ত করেছে, যার অনেকগুলি অপ্রচলিতভাবে বিতরণ করা হয়েছে, যা প্রায় ৬০ লক্ষ ব্যবহারকারীকে কুকি চুরি এবং ব্যাপক ট্র্যাকিংয়ের মতো গুরুত্বপূর্ণ নিরাপত্তা ঝুঁকির সম্মুখীন করতে পারে।

    গবেষক জন টাকারের বিস্তারিত তথ্য, ক্লায়েন্ট পর্যালোচনার সময় আবিষ্কৃত “অতালিকাভুক্ত” ক্রোম এক্সটেনশনগুলির তদন্ত থেকে উদ্ভূত। অতালিকাভুক্ত এক্সটেনশনগুলি স্ট্যান্ডার্ড ক্রোম ওয়েব স্টোর অনুসন্ধানের মাধ্যমে আবিষ্কার করা যায় না এবং ইনস্টলেশনের জন্য একটি সরাসরি URL প্রয়োজন, যা কখনও কখনও রাডারের অধীনে সম্ভাব্য অবাঞ্ছিত বা দূষিত সফ্টওয়্যার বিতরণ করার জন্য ব্যবহৃত একটি পদ্ধতি।

    সহযোগী সুরক্ষা সংস্থা অবসিডিয়ান সিকিউরিটির সাথে কাজ করে, সিকিউর অ্যানেক্স ৫৭টি সন্দেহভাজন এক্সটেনশনের তালিকা তৈরি করেছে। বিশ্লেষণে দেখা গেছে যে এই অ্যাড-অনগুলি ব্যবহারকারীর কুকিগুলিতে অ্যাক্সেসের অনুমতি দেওয়ার জন্য বিস্তৃত অনুমতি চেয়েছিল – সম্ভাব্যভাবে লগইন সেশন বজায় রাখার জন্য ব্যবহৃত সংবেদনশীল প্রমাণীকরণ টোকেন সহ – ব্রাউজিং অভ্যাস পর্যবেক্ষণ, অনুসন্ধান ফলাফল পরিবর্তন, দূরবর্তী স্ক্রিপ্ট ইনজেক্ট এবং কার্যকর করার এবং উন্নত ট্র্যাকিং কৌশল স্থাপনের ক্ষমতা সহ।

    অনেক এক্সটেনশনের সাথে সংযুক্ত একটি সাধারণ উপাদান ছিল unknow.com ডোমেনের সাথে যোগাযোগ, যা একটি সমন্বিত কমান্ড-এবং-নিয়ন্ত্রণ কাঠামোর পরামর্শ দেয়। টাকনার উল্লেখ করেছেন যে তাদের বিশ্লেষণের সময় সরাসরি ডেটা এক্সফিল্ট্রেশন পরিলক্ষিত না হলেও, এক্সটেনশনের ক্ষমতা এবং অস্পষ্ট কোডের ব্যবহার স্পাইওয়্যার সম্ভাবনার দিকে জোরালোভাবে ইঙ্গিত করে। সেশন কুকি চুরি করার ক্ষমতা বিশেষভাবে উদ্বেগজনক কারণ এটি আক্রমণকারীদের মাল্টি-ফ্যাক্টর প্রমাণীকরণ বাইপাস করতে এবং অ্যাকাউন্ট হাইজ্যাক করতে দেয়।

    এক্সটেনশন সুরক্ষা চ্যালেঞ্জের একটি ধরণ

    আবিষ্কারটি ব্রাউজার এক্সটেনশন ইকোসিস্টেমের মধ্যে চলমান সুরক্ষা সমস্যাগুলিকে তুলে ধরে। স্ট্যানফোর্ড বিশ্ববিদ্যালয় এবং CISPA হেলমহোল্টজ সেন্টার ফর ইনফরমেশন সিকিউরিটির গবেষকদের দ্বারা পরিচালিত Chrome ওয়েব স্টোরে উল্লেখযোগ্য সুরক্ষা ত্রুটিগুলি খুঁজে বের করার একটি গবেষণায় 2024 সালে সমস্যার তীব্রতা বিস্তারিতভাবে বর্ণনা করা হয়েছিল।

    তাদের গবেষণাপত্র, 2020 সালের মাঝামাঝি থেকে 2023 সালের গোড়ার দিকের ডেটা বিশ্লেষণ করে, 346 মিলিয়নেরও বেশি ডাউনলোড খুঁজে পেয়েছে যা তারা ম্যালওয়্যার, নীতি লঙ্ঘনকারী এবং দুর্বল কোড সহ এক্সটেনশনগুলিকে অন্তর্ভুক্ত করে।

    একাডেমিক গবেষণায় ঝুঁকির কারণ হিসেবে দায়ী সাধারণ সমস্যাগুলি চিহ্নিত করা হয়েছে, যার মধ্যে রয়েছে ডেভেলপারদের পাবলিক সোর্স থেকে কোড পুনঃব্যবহারের প্রবণতা, যা নিরাপত্তা ত্রুটি ছড়াতে পারে, এবং আপডেটের অভাব – প্রায় ৬০% অধ্যয়ন করা এক্সটেনশন কখনও একটিও পায়নি।

    এই অবহেলার ফলে দুর্বলতা টিকে থাকে; গবেষকরা দেখেছেন যে পরিচিত দুর্বল এক্সটেনশনের অর্ধেক প্রকাশের দুই বছর পরেও উপলব্ধ ছিল। অধিকন্তু, তদন্তে এই সিদ্ধান্তে উপনীত হয়েছে যে “ব্যবহারকারীর রেটিং কার্যকরভাবে এক্সটেনশনের নিরাপত্তা নির্দেশ করে না। ক্ষতিকারক এবং সৌম্য এক্সটেনশনগুলি প্রায়শই একই রকম রেটিং পেয়েছে”, যা পরামর্শ দেয় যে ব্যবহারকারীরা কেবল সম্প্রদায়ের প্রতিক্রিয়ার উপর ভিত্তি করে ঝুঁকিপূর্ণ অ্যাড-অনগুলি থেকে নিরাপদ অ্যাড-অনগুলি সহজেই আলাদা করতে পারে না। গবেষকরা Google দ্বারা বর্ধিত পর্যবেক্ষণের সুপারিশ করেছেন, যার মধ্যে “কোডের মিল সনাক্তকরণ” এবং “পুরানো লাইব্রেরি ব্যবহার করে এক্সটেনশনগুলিকে ফ্ল্যাগ করা” এর মতো অনুশীলন অন্তর্ভুক্ত রয়েছে।

    বিলম্বিত সনাক্তকরণ এবং প্ল্যাটফর্ম প্রতিক্রিয়া

    সমস্যাযুক্ত এক্সটেনশনগুলি প্রায়শই অপসারণের আগে স্থির থাকে, যা ঝুঁকিকে আরও জটিল করে তোলে। স্ট্যানফোর্ড/সিআইএসপিএ গবেষণায় দেখা গেছে যে ম্যালওয়্যার সাধারণত প্রায় ৩৮০ দিন ধরে টিকে থাকে, যেখানে দুর্বল এক্সটেনশন গড়ে ১,২৪৮ দিন ধরে থাকে। একটি স্পষ্ট উদাহরণ হল “টেলিঅ্যাপ” এক্সটেনশন, যা ম্যালওয়্যার সামগ্রী সনাক্ত হওয়ার আগে ৮.৫ বছর ধরে অ্যাক্সেসযোগ্য ছিল। এই বছরের শুরুতে সিকিউর অ্যানেক্স রিপোর্টের পর, গুগলকে অবহিত করা হয়েছিল এবং তদন্ত করা হয়েছিল বলে জানা গেছে, চিহ্নিত এক্সটেনশনগুলির কিছু, কিন্তু সব নয়, সরিয়ে দেওয়া হয়েছিল।

    চ্যালেঞ্জগুলি স্বীকার করার সময়, গুগল বলে যে সক্রিয় হুমকি সামগ্রিক কার্যকলাপের একটি ছোট অংশ। গুগলের ক্রোম সিকিউরিটি টিমের বেঞ্জামিন অ্যাকারম্যান, অনুনয় ঘোষ এবং ডেভিড ওয়ারেন একটি ব্লগ পোস্টে ২০২৪ লিখেছেন যে ২০২৪ সালে সমস্ত ইনস্টলের এক শতাংশেরও কম ম্যালওয়্যার অন্তর্ভুক্ত ছিল। তা সত্ত্বেও, তারা এক্সটেনশন পর্যবেক্ষণে চলমান সতর্কতার প্রয়োজনীয়তার উপর জোর দিয়েছেন।

    দ্য রেজিস্টারের মাধ্যমে স্ট্যানফোর্ড/সিআইএসপিএ গবেষণার প্রতি বিশেষভাবে প্রতিক্রিয়া জানিয়ে, গুগলের একজন মুখপাত্র বলেছেন: “আমরা গবেষণা সম্প্রদায়ের কাজের প্রশংসা করি এবং ক্রোম ওয়েব স্টোরের নিরাপত্তা বজায় রাখার উপায়গুলির জন্য পরামর্শগুলিকে সর্বদা স্বাগত জানাই। আমরা একমত যে অপরিবর্তিত এক্সটেনশনগুলি প্রায়শই কম সুরক্ষিত থাকে, যা পুরানো ম্যানিফেস্ট V2 এক্সটেনশনগুলির জন্য সমর্থন অপসারণের পদক্ষেপ নেওয়ার একটি কারণ।”

    দ্য পুশ টুওয়ার্ডস ম্যানিফেস্ট V3

    গুগল তার সুরক্ষা কৌশলের একটি মূল অংশ হিসাবে ম্যানিফেস্ট V3 এক্সটেনশন প্ল্যাটফর্মে তার স্থানান্তরের উপর জোর দেয়। ম্যানিফেস্ট V3 এক্সটেনশনগুলির জন্য কঠোর নিয়ম প্রবর্তন করে, উল্লেখযোগ্যভাবে দূরবর্তীভাবে হোস্ট করা কোড – ইনস্টলেশনের পরে সার্ভার থেকে ডাউনলোড করা কোড কার্যকর করার ক্ষমতা সীমিত করে, যা পর্যালোচনার পরে দূষিত আচরণ প্রবর্তনের জন্য একটি সাধারণ প্রক্রিয়া।

    মুখপাত্র আরও বলেন, “ম্যানিফেস্ট V3 রিপোর্টে হাইলাইট করা অনেক উদ্বেগের সমাধান করেছে, যার মধ্যে দূরবর্তীভাবে হোস্ট করা কোড দ্বারা সৃষ্ট ঝুঁকিও রয়েছে, তাই আমরা গবেষকদের সেই পরিবর্তনের গুরুত্বকে সমর্থন করতে দেখে আনন্দিত।” গুগল ২০২৫ সালের প্রথম দিকে পুরানো ম্যানিফেস্ট V2 প্ল্যাটফর্মের জন্য সমর্থন সম্পূর্ণরূপে বন্ধ করার পরিকল্পনা করছে, যা ডেভেলপারদের আরও সীমাবদ্ধ এবং তাত্ত্বিকভাবে নিরাপদ, V3 আর্কিটেকচারের দিকে ঠেলে দেবে।

     

    সূত্র: Winbuzzer / Digpu NewsTex

    Share.