आपका पसंदीदा ब्राउज़र एक्सटेंशन आपके पासवर्ड चुरा सकता है
चाबी छीनना
- Chrome वेब स्टोर पर अधिकांश एक्सटेंशन के लिए खतरनाक अनुमतियों की आवश्यकता होती है जिनका दुर्भावनापूर्ण उद्देश्यों के लिए दुरुपयोग किया जा सकता है।
- सभी वेब ब्राउज़र स्वच्छंद एक्सटेंशन की समस्या से निपटने का प्रयास कर रहे हैं।
- Google का मेनिफेस्ट V3 एक ऐसा समाधान है जो कुछ मुद्दों से निपटता है लेकिन एक्सटेंशन के लिए उपलब्ध अनुमतियों में शासन करने के लिए बहुत कम है।
निकोएलनीनो / गेट्टी छवियां
याद रखें कि वर्तनी-जांच करने वाला ब्राउज़र एक्सटेंशन जिसने आपके द्वारा लिखी गई हर चीज़ को पढ़ने और उसका विश्लेषण करने की अनुमति मांगी थी? साइबर सुरक्षा विशेषज्ञ चेतावनी देते हैं कि इस बात की बहुत अधिक संभावना है कि कुछ एक्सटेंशन वेब ब्राउज़र में आपके द्वारा डाले गए पासवर्ड को चुराने के लिए आपकी सहमति का दुरुपयोग कर रहे हैं।
उपयोगकर्ताओं को वेब एक्सटेंशन के खतरों की सराहना करने में मदद करने के लिए, डिजिटल सुरक्षा कंपनी टैलोन विश्लेषण किया है क्रोम वेब स्टोर यह रिपोर्ट करने के लिए कि हजारों एक्सटेंशन के पास चिंताजनक अनुमतियों तक पहुंच है, जैसे सभी विज़िट की गई साइटों पर डेटा बदलने की क्षमता, फ़ाइलें डाउनलोड करना, डाउनलोड गतिविधि तक पहुंच, और अधिक।
"कई लोकप्रिय एक्सटेंशन उपयोगकर्ताओं को जोखिम में डालते हैं," के सह-संस्थापक और सीटीओ टैलोन साइबर सुरक्षाओहद बोब्रोव लाइफवायर को ईमेल पर समझाया। "[यहां तक कि] सौम्य एक्सटेंशन में उनके कोड, या आपूर्ति श्रृंखला में कमजोरियां हो सकती हैं, और दुर्भावनापूर्ण अभिनेताओं द्वारा अधिग्रहण के लिए अतिसंवेदनशील हो सकते हैं।"
स्वच्छंद विस्तार
स्काईलारविजन / 32 छवियां / पिक्साबे
टैलोन का तर्क है कि एक्सटेंशन अपने उपयोगकर्ताओं के लिए बहुत अधिक मूल्य प्रदान करते हैं, और वेब ब्राउज़र में कई उपयोगी सुविधाएँ लाते हैं जैसे कि विज्ञापन-अवरोधन, वर्तनी जाँच, पासवर्ड प्रबंधन, और बहुत कुछ। हालांकि, इन कार्यात्मकताओं को लाने के लिए, एक्सटेंशन को ब्राउज़र, उसके व्यवहार और देखी गई वेबसाइटों को संशोधित करने के लिए व्यापक अनुमतियों की आवश्यकता होती है।
"स्वाभाविक रूप से, तीसरे पक्ष के अभिनेताओं से नियंत्रण और पहुंच का यह स्तर उपयोगकर्ताओं के लिए महत्वपूर्ण सुरक्षा और गोपनीयता खतरे पैदा कर सकता है," टैलोन ने समझाया।
कंपनी का कहना है कि Google की पुनरीक्षण प्रक्रिया के बावजूद, कई दुर्भावनापूर्ण एक्सटेंशन अंतराल के माध्यम से फिसलने का प्रबंधन करते हैं, और अंत में प्रतिकूल प्रभाव डालते हैं। लाखों उपयोगकर्ता. इसके विश्लेषण से पता चला कि क्रोम वेब स्टोर के सभी एक्सटेंशन के 60% से अधिक के पास उपयोगकर्ता डेटा और गतिविधि को पढ़ने या बदलने की अनुमति है।
उदाहरण के लिए, टैलोन का कहना है कि वर्तनी और व्याकरण जांचकर्ता उपयोगकर्ता के पाठ का विश्लेषण करने के लिए वेब पेज के संदर्भ से चलने वाली स्क्रिप्ट को इंजेक्ट करने की अनुमति का अनुरोध करते हैं। वे आमतौर पर इनपुट फ़ील्ड का निरीक्षण करके, या अन्य माध्यमों से उपयोगकर्ता के कीस्ट्रोक्स को लॉग करके ऐसा करते हैं। कंपनी का कहना है कि यह प्रभावी रूप से एक्सटेंशन को वेब पेज पर किसी भी जानकारी को एकत्र करने और निकालने की अनुमति देता है, जिसमें शामिल हैं पासवर्ड और अन्य संवेदनशील डेटा.
फिर विज्ञापन-अवरोधन है, जो क्रोम वेब स्टोर के कुछ शीर्ष एक्सटेंशन बनाता है। इस कार्यक्षमता में पृष्ठ से तत्वों को हटाना शामिल है और वर्तनी-जांचकर्ताओं के समान अनुमतियों की आवश्यकता होती है।
"यह अज्ञात है कि कौन सा डेटा निकाला गया था, लेकिन यह पासवर्ड सहित किसी भी पेज से संभावित रूप से कुछ भी चुरा सकता था।"
इसी तरह, स्क्रीन-शेयरिंग और वीडियो-कॉन्फ्रेंस एक्सटेंशन को उनके इच्छित कार्य को करने के लिए दी गई अनुमतियों का भी उपयोगकर्ता की स्क्रीन और ऑडियो को कैप्चर करने के लिए दुरुपयोग किया जा सकता है।
"दो कमजोरियों में पाए गए यूब्लॉक उत्पत्ति पिछले कुछ महीनों में, जिसने हमलावरों को सभी साइटों पर डेटा को पढ़ने और बदलने और संवेदनशील उपयोगकर्ता जानकारी चोरी करने के लिए एक्सटेंशन की अनुमति का फायदा उठाने की अनुमति दी," बोब्रोव ने हमें बताया।
"यूब्लॉक ओरिजिन जैसे विज्ञापन अवरोधक बेहद लोकप्रिय हैं, और आम तौर पर उपयोगकर्ता द्वारा देखे जाने वाले प्रत्येक पृष्ठ तक पहुंच होती है। पर्दे के पीछे, वे समुदाय द्वारा प्रदान की गई फ़िल्टर सूचियों द्वारा संचालित होते हैं - CSS चयनकर्ता जो यह निर्धारित करते हैं कि किन तत्वों को ब्लॉक करना है। ये सूचियां पूरी तरह से विश्वसनीय नहीं हैं, इसलिए वे दुर्भावनापूर्ण नियमों को उपयोगकर्ता डेटा चोरी करने से रोकने के लिए बाध्य हैं।" लिखा था सुरक्षा शोधकर्ता गैरेथ हेस के रूप में उन्होंने पासवर्ड चोरी करने के लिए विस्तार में कमजोरियों का उपयोग करके प्रदर्शन किया।
बोब्रोव ने यह भी साझा किया कि 2019 में लोकप्रिय द ग्रेट सस्पेंडर एक्सटेंशन, जिसके दो मिलियन से अधिक उपयोगकर्ता थे, एक दुर्भावनापूर्ण अभिनेता द्वारा खरीदा गया था, जिसने वेब पेजों में बिना समीक्षा किए, दूरस्थ रूप से होस्ट किए गए कोड को चलाने के लिए स्क्रिप्ट को इंजेक्ट करने के लिए इसकी अनुमतियों का फायदा उठाया।
"यह अज्ञात है कि कौन सा डेटा निकाला गया था," उन्होंने कहा, "लेकिन यह पासवर्ड सहित किसी भी पृष्ठ से संभावित रूप से कुछ भी चुरा सकता था।"
कोई वास्तविक समाधान नहीं
रिची ग्रेट / अनप्लाश
बोब्रोव का कहना है कि क्रोम और वस्तुतः अन्य सभी प्रमुख वेब ब्राउज़र द्वारा उत्पन्न सुरक्षा जोखिम को नियंत्रित करने के लिए काम कर रहे हैं विस्तार, न केवल उनकी पुनरीक्षण प्रक्रिया में सुधार करके, बल्कि कुछ क्षमताओं को सीमित करके भी एक्सटेंशन।
ऐसा ही एक हालिया कदम बोब्रोव बताते हैं कि Google का है प्रकट V3. उनका कहना है कि औसत उपयोगकर्ता के लिए, सबसे अधिक ध्यान देने योग्य अंतर मेनिफेस्ट V3 लाएगा एक्सटेंशन दूरस्थ रूप से होस्ट किए गए कोड पर पूर्ण प्रतिबंध है, और एक्सटेंशन वेब को संशोधित करने के तरीके में बदलाव है अनुरोध। हालांकि, वह कहते हैं कि विज्ञापन-अवरोधकों को गंभीर रूप से बाधित करने के लिए मेनिफेस्ट V3 की आलोचना की गई है।
"सबसे महत्वपूर्ण रुझान सुरक्षा अंतराल को बंद कर रहे हैं, अंत-उपयोगकर्ता दृश्यता और नियंत्रण में वृद्धि कर रहे हैं" (उदाहरण के लिए, कौन सी साइटें एक्सटेंशन को चलने की अनुमति देती हैं), और एक्सटेंशन से अप्राप्य कोड पर प्रतिबंध लगाती हैं," बोब्रोव कहा। "इनमें से कुछ परिवर्तन Google के मेनिफेस्ट V3. हालांकि, इनमें से कोई भी परिवर्तन नाटकीय रूप से एक्सटेंशन के लिए उपलब्ध अनुमतियों को नहीं बदलता है।"