एंटरप्राइज़ सुरक्षा फर्म सिक्योर एनेक्स ने 57 ब्राउज़र एक्सटेंशन के एक नेटवर्क की पहचान की है, जिनमें से कई गैर-पारंपरिक रूप से वितरित किए गए थे, और जो संभावित रूप से लगभग 6 मिलियन उपयोगकर्ताओं को कुकी चोरी और व्यापक ट्रैकिंग जैसे गंभीर सुरक्षा जोखिमों के प्रति संवेदनशील बनाते थे।
शोधकर्ता जॉन टकनर द्वारा विस्तृत ये निष्कर्ष, एक क्लाइंट समीक्षा के दौरान खोजे गए “अनलिस्टेड” क्रोम एक्सटेंशन की जाँच से निकले हैं। अनलिस्टेड एक्सटेंशन मानक क्रोम वेब स्टोर खोजों के माध्यम से खोजे नहीं जा सकते हैं और इन्हें इंस्टॉल करने के लिए सीधे URL की आवश्यकता होती है, जिसका उपयोग कभी-कभी संभावित रूप से अवांछित या दुर्भावनापूर्ण सॉफ़्टवेयर को गुप्त रूप से वितरित करने के लिए किया जाता है।
एक अन्य सुरक्षा फर्म ओब्सीडियन सिक्योरिटी के साथ मिलकर, सिक्योर एनेक्स ने 57 संदिग्ध एक्सटेंशन की सूची तैयार की। विश्लेषण से पता चला कि इन ऐड-ऑन ने व्यापक अनुमतियों का अनुरोध किया था जिससे उन्हें उपयोगकर्ता कुकीज़ तक पहुँच मिल सके – संभवतः लॉगिन सत्रों को बनाए रखने के लिए उपयोग किए जाने वाले संवेदनशील प्रमाणीकरण टोकन सहित – साथ ही ब्राउज़िंग आदतों की निगरानी करने, खोज परिणामों को बदलने, रिमोट स्क्रिप्ट को इंजेक्ट और निष्पादित करने, और उन्नत ट्रैकिंग तकनीकों को लागू करने की क्षमताएँ भी शामिल थीं।
कई एक्सटेंशन को जोड़ने वाला एक सामान्य तत्व डोमेन unknow.com के साथ संचार था, जो एक समन्वित कमांड-एंड-कंट्रोल संरचना का संकेत देता है। टकनर ने नोट किया कि उनके विश्लेषण के दौरान प्रत्यक्ष डेटा एक्सफ़िल्टरेशन तो नहीं देखा गया, लेकिन एक्सटेंशन की क्षमताएँ और अस्पष्ट कोड का उपयोग स्पाइवेयर की संभावना की ओर स्पष्ट रूप से इशारा करता है। सत्र कुकीज़ चुराने की क्षमता विशेष रूप से चिंताजनक है क्योंकि यह हमलावरों को बहु-कारक प्रमाणीकरण को दरकिनार करने और खातों को हाईजैक करने की अनुमति दे सकती है।
एक्सटेंशन सुरक्षा चुनौतियों का एक पैटर्न
यह खोज ब्राउज़र एक्सटेंशन इकोसिस्टम में चल रही सुरक्षा समस्याओं को उजागर करती है। स्टैनफोर्ड विश्वविद्यालय और CISPA हेल्महोल्ट्ज़ सेंटर फॉर इंफॉर्मेशन सिक्योरिटी के शोधकर्ताओं द्वारा 2024 में किए गए एक अध्ययन में क्रोम वेब स्टोर में उल्लेखनीय सुरक्षा कमियों का पता लगाने में समस्या के व्यापक पैमाने का विस्तार से वर्णन किया गया था।
उनके शोध पत्र में, 2020 के मध्य से 2023 की शुरुआत तक के आंकड़ों का विश्लेषण करते हुए, 346 मिलियन से ज़्यादा डाउनलोड पाए गए, जिन्हें उन्होंने “सुरक्षा-उल्लेखनीय एक्सटेंशन” कहा, जिनमें मैलवेयर, नीति उल्लंघनकर्ता और असुरक्षित कोड वाले एक्सटेंशन शामिल थे।
अकादमिक अध्ययन ने जोखिम में योगदान देने वाले सामान्य मुद्दों की पहचान की, जिनमें डेवलपर्स द्वारा सार्वजनिक स्रोतों से कोड का पुन: उपयोग करने की प्रवृत्ति शामिल है, जिससे सुरक्षा खामियां फैल सकती हैं, और अपडेट की कमी – अध्ययन किए गए लगभग 60% एक्सटेंशन को कभी अपडेट नहीं मिला था।
यह उपेक्षा कमजोरियों को बनी रहने देती है; शोधकर्ताओं ने पाया कि आधे ज्ञात असुरक्षित एक्सटेंशन प्रकटीकरण के दो साल बाद भी उपलब्ध रहे। इसके अलावा, जाँच ने निष्कर्ष निकाला कि “उपयोगकर्ता रेटिंग प्रभावी रूप से एक्सटेंशन की सुरक्षा का संकेत नहीं देती हैं। दुर्भावनापूर्ण और सौम्य एक्सटेंशन को अक्सर समान रेटिंग प्राप्त होती है”, यह सुझाव देते हुए कि उपयोगकर्ता केवल सामुदायिक प्रतिक्रिया के आधार पर सुरक्षित ऐड-ऑन और जोखिम भरे ऐड-ऑन में आसानी से अंतर नहीं कर सकते हैं। शोधकर्ताओं ने Google द्वारा बेहतर निगरानी की सिफ़ारिश की, जिसमें “कोड समानताओं का पता लगाना” और “पुरानी लाइब्रेरीज़ का इस्तेमाल करने वाले एक्सटेंशन को फ़्लैग करना” जैसी प्रथाएँ शामिल हैं।
विलंबित पहचान और प्लेटफ़ॉर्म प्रतिक्रिया
समस्याग्रस्त एक्सटेंशन अक्सर हटाए जाने से पहले ही बने रहते हैं, जिससे जोखिम बढ़ जाता है। स्टैनफोर्ड/CISPA अध्ययन में पाया गया कि मैलवेयर आमतौर पर लगभग 380 दिनों तक बना रहता है, जबकि कमज़ोर एक्सटेंशन औसतन 1,248 दिनों तक बना रहता है। इसका एक स्पष्ट उदाहरण “TeleApp” एक्सटेंशन था, जो मैलवेयर सामग्री की पहचान होने से पहले 8.5 वर्षों तक सुलभ था। इस साल की शुरुआत में सिक्योर एनेक्स रिपोर्ट के बाद, Google को सूचित किया गया और कथित तौर पर जाँच की गई, जिसमें पहचाने गए कुछ एक्सटेंशन हटा दिए गए, लेकिन सभी नहीं।
चुनौतियों को स्वीकार करते हुए, Google का कहना है कि सक्रिय खतरे समग्र गतिविधि का एक छोटा सा हिस्सा हैं। Google की Chrome सुरक्षा टीम के बेंजामिन एकरमैन, अनुनय घोष और डेविड वॉरेन ने एक ब्लॉग पोस्ट में लिखा कि 2024 में सभी इंस्टॉल में से एक प्रतिशत से भी कम में मैलवेयर शामिल थे। फिर भी, उन्होंने एक्सटेंशन की निगरानी में निरंतर सतर्कता बरतने की आवश्यकता पर ज़ोर दिया।
द रजिस्टर के माध्यम से स्टैनफोर्ड/CISPA के शोध पर विशेष रूप से प्रतिक्रिया देते हुए, Google के एक प्रवक्ता ने कहा: “हम शोध समुदाय के काम की सराहना करते हैं, और Chrome वेब स्टोर की सुरक्षा बनाए रखने के सुझावों का हमेशा स्वागत करते हैं। हम इस बात से सहमत हैं कि बिना रखरखाव वाले एक्सटेंशन अक्सर कम सुरक्षित होते हैं, यही एक कारण है कि हम पुराने Manifest V2 एक्सटेंशन के लिए समर्थन हटाने के लिए कदम उठा रहे हैं।”
Manifest V3 की ओर कदम
Google अपनी सुरक्षा रणनीति के एक प्रमुख भाग के रूप में Manifest V3 एक्सटेंशन प्लेटफ़ॉर्म पर अपने संक्रमण पर ज़ोर देता है। मैनिफेस्ट V3 एक्सटेंशन के लिए कड़े नियम पेश करता है, खासकर रिमोटली होस्ट किए गए कोड को निष्पादित करने की उनकी क्षमता को सीमित करता है – इंस्टॉलेशन के बाद सर्वर से डाउनलोड किया गया कोड, जो समीक्षा के बाद दुर्भावनापूर्ण व्यवहार शुरू करने का एक सामान्य तरीका रहा है।
प्रवक्ता ने आगे कहा, “मैनिफेस्ट V3 रिपोर्ट में बताई गई कई चिंताओं का समाधान करता है, जिसमें रिमोटली होस्ट किए गए कोड से उत्पन्न जोखिम भी शामिल हैं, इसलिए हमें यह देखकर खुशी हो रही है कि शोधकर्ता इस बदलाव के महत्व का समर्थन कर रहे हैं।” Google का इरादा 2025 की शुरुआत तक पुराने मैनिफेस्ट V2 प्लेटफ़ॉर्म के लिए समर्थन को पूरी तरह से समाप्त करने का है, जिससे डेवलपर्स अधिक प्रतिबंधित और सैद्धांतिक रूप से सुरक्षित V3 आर्किटेक्चर की ओर बढ़ेंगे।
स्रोत: विनबज़र / डिग्पू न्यूज़टेक्स