நிறுவன பாதுகாப்பு நிறுவனமான செக்யூர் அனெக்ஸ், 57 உலாவி நீட்டிப்புகளின் வலையமைப்பை அடையாளம் கண்டுள்ளது, அவற்றில் பல பாரம்பரியமற்ற முறையில் விநியோகிக்கப்பட்டன, அவை கிட்டத்தட்ட 6 மில்லியன் பயனர்களை குக்கீ திருட்டு மற்றும் பரவலான கண்காணிப்பு போன்ற குறிப்பிடத்தக்க பாதுகாப்பு அபாயங்களுக்கு ஆளாக்கக்கூடும்.
ஆராய்ச்சியாளர் ஜான் டக்னரால் விவரிக்கப்பட்ட கண்டுபிடிப்புகள், கிளையன்ட் மதிப்பாய்வின் போது கண்டுபிடிக்கப்பட்ட “பட்டியலிடப்படாத” குரோம் நீட்டிப்புகள் குறித்த விசாரணையிலிருந்து உருவானது. பட்டியலிடப்படாத நீட்டிப்புகளை நிலையான குரோம் வலை அங்காடி தேடல்கள் மூலம் கண்டறிய முடியாது மற்றும் நிறுவலுக்கு நேரடி URL தேவைப்படுகிறது, இது சில நேரங்களில் தேவையற்ற அல்லது தீங்கிழைக்கும் மென்பொருளை ரேடாரின் கீழ் விநியோகிக்கப் பயன்படுத்தப்படும் ஒரு முறையாகும்.
சக பாதுகாப்பு நிறுவனமான அப்சிடியன் செக்யூரிட்டியுடன் இணைந்து, செக்யூர் அனெக்ஸ் 57 சந்தேகத்திற்குரிய நீட்டிப்புகளின் பட்டியலைத் தொகுத்தது. இந்த துணை நிரல்கள் பயனர் குக்கீகளை அணுக அனுமதிக்கும் பரந்த அனுமதிகளைக் கோரியதாக பகுப்பாய்வு வெளிப்படுத்தியது – உலாவல் பழக்கங்களைக் கண்காணிக்க, தேடல் முடிவுகளை மாற்ற, ரிமோட் ஸ்கிரிப்ட்களை செலுத்த மற்றும் செயல்படுத்த மற்றும் மேம்பட்ட கண்காணிப்பு நுட்பங்களை வரிசைப்படுத்துவதற்கான திறன்களுடன்.
பல நீட்டிப்புகளை இணைக்கும் ஒரு பொதுவான உறுப்பு unknow.com டொமைனுடன் தொடர்புகொள்வது, ஒருங்கிணைந்த கட்டளை மற்றும் கட்டுப்பாட்டு கட்டமைப்பை பரிந்துரைக்கிறது. அவர்களின் பகுப்பாய்வின் போது நேரடி தரவு வெளியேற்றம் கவனிக்கப்படவில்லை என்றாலும், நீட்டிப்புகளின் திறன்களும் தெளிவற்ற குறியீட்டின் பயன்பாடும் ஸ்பைவேர் திறனை நோக்கி வலுவாக சுட்டிக்காட்டியதாக டக்னர் குறிப்பிட்டார். அமர்வு குக்கீகளைத் திருடும் திறன் குறிப்பாக கவலைக்குரியது, ஏனெனில் இது தாக்குபவர்கள் பல காரணி அங்கீகாரத்தைத் தவிர்த்து கணக்குகளை கடத்த அனுமதிக்கும்.
நீட்டிப்பு பாதுகாப்பு சவால்களின் ஒரு முறை
இந்த கண்டுபிடிப்பு உலாவி நீட்டிப்பு சுற்றுச்சூழல் அமைப்புகளுக்குள் நடந்து வரும் பாதுகாப்பு சிக்கல்களை எடுத்துக்காட்டுகிறது. ஸ்டான்போர்ட் பல்கலைக்கழகம் மற்றும் CISPA ஹெல்ம்ஹோல்ட்ஸ் தகவல் பாதுகாப்பு மையத்தின் ஆராய்ச்சியாளர்களால் நடத்தப்பட்ட Chrome வலை அங்காடியில் குறிப்பிடத்தக்க பாதுகாப்பு குறைபாடுகளைக் கண்டறிந்த ஆய்வில், சிக்கலின் மிகப்பெரிய அளவு 2024 இல் விரிவாகக் கூறப்பட்டது.
2020 ஆம் ஆண்டின் நடுப்பகுதியிலிருந்து 2023 ஆம் ஆண்டின் முற்பகுதி வரை தரவை பகுப்பாய்வு செய்த அவர்களின் ஆராய்ச்சிக் கட்டுரை, தீம்பொருள், கொள்கை மீறுபவர்கள் மற்றும் பாதிக்கப்படக்கூடிய குறியீட்டைக் கொண்ட நீட்டிப்புகள் ஆகியவற்றை உள்ளடக்கிய “பாதுகாப்பு-குறிப்பிடத்தக்க நீட்டிப்புகள்”, என்று அவர்கள் அழைத்தவற்றின் 346 மில்லியனுக்கும் அதிகமான பதிவிறக்கங்களைக் கண்டறிந்தது.
இந்த கல்வி ஆய்வு, அபாயத்திற்கு பங்களிக்கும் பொதுவான சிக்கல்களை அடையாளம் கண்டுள்ளது, இதில் டெவலப்பர்கள் பொது மூலங்களிலிருந்து குறியீட்டை மீண்டும் பயன்படுத்தும் போக்கு, இது பாதுகாப்பு குறைபாடுகளைப் பரப்பக்கூடும், மற்றும் புதுப்பிப்புகள் இல்லாதது ஆகியவை அடங்கும் – ஆய்வு செய்யப்பட்ட நீட்டிப்புகளில் சுமார் 60% ஒருபோதும் ஒன்றைப் பெறவில்லை.
இந்த புறக்கணிப்பு பாதிப்புகள் நீடிக்க அனுமதிக்கிறது; ஆராய்ச்சியாளர்கள் அறியப்பட்ட பாதிக்கப்படக்கூடிய நீட்டிப்புகளில் பாதி வெளிப்படுத்தப்பட்ட இரண்டு ஆண்டுகளுக்குப் பிறகும் கிடைத்துள்ளன என்பதைக் கண்டறிந்தனர். மேலும், விசாரணையில் “பயனர் மதிப்பீடுகள் நீட்டிப்புகளின் பாதுகாப்பை திறம்படக் குறிக்கவில்லை. தீங்கிழைக்கும் மற்றும் தீங்கற்ற நீட்டிப்புகள் பெரும்பாலும் ஒத்த மதிப்பீடுகளைப் பெற்றன”, இது பயனர்கள் சமூகக் கருத்துகளின் அடிப்படையில் ஆபத்தானவற்றிலிருந்து பாதுகாப்பான துணை நிரல்களை எளிதாக வேறுபடுத்திப் பார்க்க முடியாது என்பதைக் குறிக்கிறது. “குறியீட்டு ஒற்றுமைகளைக் கண்டறிதல்” மற்றும் “காலாவதியான நூலகங்களைப் பயன்படுத்தி நீட்டிப்புகளைக் கொடியிடுதல்” போன்ற நடைமுறைகள் உட்பட கூகிள் மூலம் மேம்பட்ட கண்காணிப்பை ஆராய்ச்சியாளர்கள் பரிந்துரைத்தனர்.
தாமதமான கண்டறிதல் மற்றும் இயங்குதள பதில்
சிக்கல் நிறைந்த நீட்டிப்புகள் பெரும்பாலும் அகற்றப்படுவதற்கு முன்பு நீடிக்கும், ஆபத்தை அதிகப்படுத்துகின்றன. ஸ்டான்ஃபோர்டு/CISPA ஆய்வில், தீம்பொருள் பொதுவாக சுமார் 380 நாட்கள் நீடித்ததாகவும், பாதிக்கப்படக்கூடிய நீட்டிப்புகள் சராசரியாக 1,248 நாட்கள் ஆபத்தானவை என்றும் கண்டறியப்பட்டது. வழங்கப்பட்ட ஒரு தெளிவான எடுத்துக்காட்டு “TeleApp” என்ற நீட்டிப்பு ஆகும், இது தீம்பொருள் உள்ளடக்கம் அடையாளம் காணப்படுவதற்கு 8.5 ஆண்டுகளுக்கு முன்பு அணுகக்கூடியதாக இருந்தது. இந்த ஆண்டின் தொடக்கத்தில் செக்யூர் இணைப்பு அறிக்கையைத் தொடர்ந்து, கூகிளுக்கு அறிவிக்கப்பட்டு விசாரிக்கப்பட்டு, அடையாளம் காணப்பட்ட நீட்டிப்புகளில் சிலவற்றை நீக்கியதாக கூறப்படுகிறது, ஆனால் அனைத்தையும் அல்ல.
சவால்களை ஒப்புக்கொண்டாலும், செயலில் உள்ள அச்சுறுத்தல்கள் ஒட்டுமொத்த செயல்பாட்டின் ஒரு சிறிய பகுதியைக் குறிக்கின்றன என்று கூகிள் பராமரிக்கிறது. கூகிளின் குரோம் பாதுகாப்பு குழுவைச் சேர்ந்த பெஞ்சமின் அக்கர்மன், அனுனாய் கோஷ் மற்றும் டேவிட் வாரன் ஆகியோர் 2024 ஐ ஒரு வலைப்பதிவு இடுகையில் 2024 இல் அனைத்து நிறுவல்களிலும் ஒரு சதவீதத்திற்கும் குறைவானவை தீம்பொருளை உள்ளடக்கியதாக எழுதினர். ஆயினும்கூட, நீட்டிப்புகளைக் கண்காணிப்பதில் தொடர்ந்து விழிப்புடன் இருக்க வேண்டியதன் அவசியத்தை அவர்கள் வலியுறுத்தினர்.
தி ரிஜிஸ்டர் வழியாக ஸ்டான்ஃபோர்டு/CISPA ஆராய்ச்சிக்கு குறிப்பாக பதிலளித்த கூகிள் செய்தித் தொடர்பாளர் ஒருவர் கூறியதாவது: “ஆராய்ச்சி சமூகத்தின் பணியை நாங்கள் பாராட்டுகிறோம், மேலும் Chrome இணைய அங்காடியின் பாதுகாப்பைப் பராமரிப்பதற்கான வழிகளுக்கான பரிந்துரைகளை எப்போதும் வரவேற்கிறோம். பராமரிக்கப்படாத நீட்டிப்புகள் பெரும்பாலும் குறைவான பாதுகாப்பானவை என்பதை நாங்கள் ஒப்புக்கொள்கிறோம், இது காலாவதியான மேனிஃபெஸ்ட் V2 நீட்டிப்புகளுக்கான ஆதரவை அகற்ற நாங்கள் நடவடிக்கை எடுத்து வருவதற்கான காரணங்களில் ஒன்றாகும்.”
மேனிஃபெஸ்ட் V3 நோக்கிய புஷ்
கூகிள் அதன் பாதுகாப்பு உத்தியின் முக்கிய பகுதியாக மேனிஃபெஸ்ட் V3 நீட்டிப்பு தளத்திற்கு மாறுவதை வலியுறுத்துகிறது. மேனிஃபெஸ்ட் V3 நீட்டிப்புகளுக்கான கடுமையான விதிகளை அறிமுகப்படுத்துகிறது, குறிப்பாக நிறுவலுக்குப் பிறகு சேவையகத்திலிருந்து பதிவிறக்கம் செய்யப்பட்ட தொலைதூர ஹோஸ்ட் செய்யப்பட்ட குறியீட்டை செயல்படுத்தும் அவற்றின் திறனைக் கட்டுப்படுத்துகிறது, இது மதிப்பாய்வுக்குப் பிறகு தீங்கிழைக்கும் நடத்தையை அறிமுகப்படுத்துவதற்கான பொதுவான வழிமுறையாகும்.
செய்தித் தொடர்பாளர் மேலும் கூறுகையில், “ரிமோட் ஹோஸ்ட் செய்யப்பட்ட குறியீட்டால் ஏற்படும் அபாயங்கள் உட்பட, அறிக்கையில் முன்னிலைப்படுத்தப்பட்ட பல கவலைகளை மேனிஃபெஸ்ட் V3 நிவர்த்தி செய்கிறது, எனவே ஆராய்ச்சியாளர்கள் அந்த மாற்றத்தின் முக்கியத்துவத்தை ஆதரிப்பதைக் கண்டு நாங்கள் மகிழ்ச்சியடைகிறோம்.” கூகிள் 2025 ஆம் ஆண்டின் தொடக்கத்தில் பழைய மேனிஃபெஸ்ட் V2 தளத்திற்கான ஆதரவை முற்றிலுமாக நிறுத்த திட்டமிட்டுள்ளது, இது டெவலப்பர்களை மிகவும் கட்டுப்படுத்தப்பட்ட மற்றும் கோட்பாட்டளவில் பாதுகாப்பான V3 கட்டமைப்பை நோக்கித் தள்ளுகிறது.
மூலம்: Winbuzzer / Digpu NewsTex