સંશોધન દર્શાવે છે કે મેનિફેસ્ટ V3 સુરક્ષા સમસ્યાઓથી પીડાઈ શકે છે. અપગ્રેડ કરેલ ક્રોમિયમ મેનિફેસ્ટ હજુ પણ દૂષિત એક્સ્ટેન્શન્સને મંજૂરી આપે છે કેટલાક સુરક્ષા સાધનો ખતરનાક એક્સ્ટેન્શનને ઓળખવામાં સંઘર્ષ કરે છે
બ્રાઉઝર એક્સ્ટેંશન લાંબા સમયથી વપરાશકર્તાઓ માટે એક અનુકૂળ સાધન છે, ઉત્પાદકતામાં વધારો કરે છે અને કાર્યોને સુવ્યવસ્થિત કરે છે. જો કે, તેઓ વ્યક્તિગત વપરાશકર્તાઓ અને સાહસો બંનેને લક્ષ્ય બનાવીને નબળાઈઓનું શોષણ કરવા માંગતા દૂષિત અભિનેતાઓ માટે પણ મુખ્ય લક્ષ્ય બની ગયા છે.
સુરક્ષા વધારવાના પ્રયાસો છતાં, આમાંના ઘણા એક્સ્ટેન્શન્સે Google ના નવીનતમ એક્સ્ટેંશન ફ્રેમવર્ક, મેનિફેસ્ટ V3 (MV3) માં છટકબારીઓનો ઉપયોગ કરવાની રીતો શોધી કાઢી છે.
દ્વારા તાજેતરનું સંશોધન સ્ક્વેરએક્સ એ જાહેર કર્યું છે કે કેવી રીતે આ બદમાશ એક્સ્ટેન્શન્સ હજી પણ મુખ્ય સુરક્ષા પગલાંને બાયપાસ કરી શકે છે, લાખો વપરાશકર્તાઓને ડેટા ચોરી, માલવેર અને સંવેદનશીલ માહિતીની અનધિકૃત ઍક્સેસ જેવા જોખમો માટે ખુલ્લા કરી શકે છે.
બ્રાઉઝર એક્સ્ટેંશન હવે વધુ જોખમો પેદા કરે છે
Google હંમેશા Chrome માં એક્સ્ટેંશનની સમસ્યાઓ સાથે સંઘર્ષ કરે છે. જૂન 2023 માં, કંપનીએ 32 શોષણક્ષમ એક્સ્ટેંશનને મેન્યુઅલી દૂર કરવા પડ્યા હતા જે દૂર કરવામાં આવ્યા પહેલા 72 મિલિયન વખત ઇન્સ્ટોલ કરવામાં આવ્યા હતા.
Google નું અગાઉનું એક્સ્ટેંશન ફ્રેમવર્ક, મેનિફેસ્ટ વર્ઝન 2 (MV2), કુખ્યાત રીતે સમસ્યારૂપ હતું. તે ઘણીવાર એક્સ્ટેંશનને વધુ પડતી પરવાનગીઓ આપે છે અને વપરાશકર્તાની જાગૃતિ વિના સ્ક્રિપ્ટ્સને ઇન્જેક્ટ કરવાની મંજૂરી આપે છે, જે હુમલાખોરો માટે ડેટાની ચોરી કરવાનું, સંવેદનશીલ માહિતીને ઍક્સેસ કરવાનું અને માલવેર દાખલ કરવાનું સરળ બનાવે છે.
જવાબમાં, Google એ મેનિફેસ્ટ V3 રજૂ કર્યું, જેનો હેતુ પરવાનગીઓને મર્યાદિત કરીને અને તેમની સ્ક્રિપ્ટો અગાઉથી જાહેર કરવા માટે એક્સ્ટેંશનની આવશ્યકતા દ્વારા સુરક્ષાને વધુ કડક બનાવવાનો હતો. જ્યારે MV3 એ MV2 માં હાજર નબળાઈઓને ઉકેલવાની અપેક્ષા હતી, SquareX નું સંશોધન દર્શાવે છે કે તે નિર્ણાયક વિસ્તારોમાં ઓછું પડે છે.
MV3 પર બનેલા દૂષિત એક્સટેન્શન હજુ પણ સુરક્ષા સુવિધાઓને બાયપાસ કરી શકે છે અને ખાસ પરવાનગીની જરૂર વગર Google Meet અને Zoom Web જેવા સહયોગી પ્લેટફોર્મ પરથી લાઇવ વિડિયો સ્ટ્રીમ્સ ચોરી શકે છે. તેઓ ખાનગી GitHub રિપોઝીટરીઝમાં અનધિકૃત સહયોગીઓને પણ ઉમેરી શકે છે, અને વપરાશકર્તાઓને પાસવર્ડ મેનેજરના વેશમાં ફિશિંગ પૃષ્ઠો પર રીડાયરેક્ટ પણ કરી શકે છે.
વધુમાં, આ દૂષિત એક્સ્ટેંશન બ્રાઉઝિંગ ઇતિહાસ, કૂકીઝ, બુકમાર્ક્સ અને ડાઉનલોડ ઇતિહાસને ઍક્સેસ કરી શકે છે, તેમના MV2 સમકક્ષોની જેમ, નકલી સોફ્ટવેર અપડેટ પોપ-અપ દાખલ કરીને જે વપરાશકર્તાઓને માલવેર ડાઉનલોડ કરવા માટે યુક્તિ કરે છે.
એકવાર દૂષિત એક્સ્ટેંશન ઇન્સ્ટોલ થઈ જાય, પછી વ્યક્તિઓ અને સાહસો આ એક્સ્ટેંશનની પ્રવૃત્તિઓને શોધી શકતા નથી, તેમને ખુલ્લા છોડી દે છે. એન્ડપોઇન્ટ પ્રોટેક્શન, સિક્યોર એક્સેસ સર્વિસ એજ (SASE), અને સિક્યોર વેબ ગેટવેઝ (SWG) જેવા સુરક્ષા સોલ્યુશન્સ સંભવિત જોખમો માટે બ્રાઉઝર એક્સ્ટેન્શનનું ગતિશીલ મૂલ્યાંકન કરી શકતા નથી.
આ પડકારોનો સામનો કરવા માટે, SquareX એ બ્રાઉઝર એક્સ્ટેંશન સુરક્ષાને બહેતર બનાવવાના હેતુથી ઘણા ઉકેલો વિકસાવ્યા છે. તેમના અભિગમમાં ફાઇન-ટ્યુન નીતિઓ શામેલ છે જે એડમિનિસ્ટ્રેટર્સને એક્સ્ટેંશન પરવાનગીઓ, અપડેટ ઇતિહાસ, સમીક્ષાઓ અને વપરાશકર્તા રેટિંગ્સ જેવા પરિબળોના આધારે કયા એક્સ્ટેંશનને અવરોધિત કરવા અથવા પરવાનગી આપવી તે નક્કી કરવાની મંજૂરી આપે છે.
આ સોલ્યુશન નીતિઓ, મશીન લર્નિંગ આંતરદૃષ્ટિ અને હ્યુરિસ્ટિક વિશ્લેષણના આધારે રીઅલ-ટાઇમમાં એક્સ્ટેંશન દ્વારા કરવામાં આવેલી નેટવર્ક વિનંતીઓને અવરોધિત કરી શકે છે. વધુમાં, SquareX તેના ક્લાઉડ સર્વર પર સંશોધિત ક્રોમિયમ બ્રાઉઝરનો ઉપયોગ કરીને ક્રોમ એક્સ્ટેંશનના ગતિશીલ વિશ્લેષણ સાથે પ્રયોગ કરી રહ્યું છે, જે સંભવિત રીતે હાનિકારક એક્સ્ટેન્શન્સની વર્તણૂકમાં ઊંડી આંતરદૃષ્ટિ પ્રદાન કરે છે.
“બ્રાઉઝર એક્સ્ટેન્શન્સ EDR/XDR માટે એક અંધ સ્થળ છે અને SWG પાસે તેમની હાજરીનો અંદાજ કાઢવાનો કોઈ રસ્તો નથી,” SquareX ના સ્થાપક અને CEO વિવેક રામચંદ્રને નોંધ્યું.
“આનાથી બ્રાઉઝર એક્સ્ટેન્શન્સને ચુપચાપ ઇન્સ્ટોલ કરવા અને એન્ટરપ્રાઇઝ યુઝર્સને મોનિટર કરવા માટે ખૂબ જ અસરકારક અને શક્તિશાળી ટેકનિક બનાવી છે, અને હુમલાખોરો વેબ કોલ્સ પર કમ્યુનિકેશન મોનિટર કરવા, બાહ્ય પક્ષકારોને પરવાનગી આપવા માટે પીડિત વતી કાર્ય કરવા, કૂકીઝ અને અન્ય સાઇટ્સ ચોરી કરવા માટે તેનો લાભ લઈ રહ્યા છે. ડેટા વગેરે.”
“અમારું સંશોધન સાબિત કરે છે કે ગતિશીલ વિશ્લેષણ અને સાહસો માટે કડક નીતિઓ લાગુ કરવાની ક્ષમતા વિના, આ હુમલાઓને ઓળખવા અને અવરોધિત કરવાનું શક્ય બનશે નહીં. Google MV3, જો કે હેતુપૂર્વકનું છે, તેમ છતાં ડિઝાઇન અને અમલીકરણ બંને તબક્કામાં સુરક્ષા લાગુ કરવાથી દૂર છે,” રામચંદ્રને ઉમેર્યું.