सभी क्रोमियम उपयोगकर्ताओं में से लगभग 33% के पास किसी न किसी प्रकार का ब्राउज़र प्लगइन स्थापित है। विशेष रूप से पावर उपयोगकर्ताओं द्वारा उपयोग की जाने वाली एक विशिष्ट, एज-टेक्नोलॉजी होने के बजाय, ऐड-ऑन सकारात्मक रूप से मुख्यधारा हैं, जिनमें से अधिकांश क्रोम वेब स्टोर और फ़ायरफ़ॉक्स ऐड-ऑन मार्केटप्लेस से आते हैं।
लेकिन वे कितने सुरक्षित हैं?
सुरक्षा और गोपनीयता पर IEEE संगोष्ठी में प्रस्तुत किए जाने वाले शोध के अनुसार, उत्तर बहुत नहीं है . Google द्वारा वित्त पोषित अध्ययन में पाया गया कि लाखों क्रोम उपयोगकर्ताओं के पास कुछ प्रकार के ऐड-ऑन आधारित मैलवेयर स्थापित हैं, जो कुल Google ट्रैफ़िक का 5% प्रतिनिधित्व करते हैं।
शोध के परिणामस्वरूप क्रोम ऐप स्टोर से लगभग 200 प्लगइन्स को स्क्रब किया गया, और बाजार की समग्र सुरक्षा पर सवाल उठाया गया।
तो, Google हमें सुरक्षित रखने के लिए क्या कर रहा है, और आप किसी दुष्ट ऐड-ऑन का पता कैसे लगा सकते हैं? मुझे पता चला।
ऐड-ऑन कहां से आते हैं
आप जो चाहें उन्हें कॉल करें - ब्राउज़र एक्सटेंशन, प्लगइन्स या ऐड-ऑन - वे सभी एक ही स्थान से आते हैं। स्वतंत्र, तृतीय-पक्ष डेवलपर ऐसे उत्पाद तैयार कर रहे हैं जो उन्हें लगता है कि एक आवश्यकता की पूर्ति करते हैं, या किसी समस्या का समाधान करते हैं।
ब्राउज़र ऐड-ऑन आमतौर पर HTML, CSS और जावास्क्रिप्ट जैसी वेब तकनीकों का उपयोग करके लिखे जाते हैं, और आमतौर पर एक विशिष्ट ब्राउज़र के लिए बनाए जाते हैं, हालांकि कुछ तृतीय-पक्ष सेवाएँ हैं जो क्रॉस-प्लेटफ़ॉर्म ब्राउज़र प्लग इन के निर्माण की सुविधा प्रदान करती हैं।
एक बार एक प्लगइन पूरा होने के स्तर तक पहुंच गया है और परीक्षण किया गया है, फिर इसे जारी किया जाता है। प्लगइन को स्वतंत्र रूप से वितरित करना संभव है, हालांकि अधिकांश डेवलपर्स इसे मोज़िला, Google और माइक्रोसॉफ्ट के एक्सटेंशन स्टोर के माध्यम से वितरित करने के बजाय चुनते हैं।
हालांकि, इससे पहले कि यह किसी उपयोगकर्ता के कंप्यूटर को छूए, यह सुनिश्चित करने के लिए इसका परीक्षण किया जाना चाहिए कि यह उपयोग करने के लिए सुरक्षित है। यहां बताया गया है कि यह Google Chrome ऐप स्टोर पर कैसे काम करता है।
Chrome को सुरक्षित रखना
एक्सटेंशन जमा करने से लेकर उसके अंतिम प्रकाशन तक, 60 मिनट की प्रतीक्षा है। यहाँ क्या हुआ? खैर, पर्दे के पीछे, Google यह सुनिश्चित कर रहा है कि प्लगइन में कोई दुर्भावनापूर्ण तर्क, या ऐसा कुछ भी नहीं है जो उपयोगकर्ताओं की गोपनीयता या सुरक्षा से समझौता कर सकता है।
इस प्रक्रिया को 'एन्हांस्ड आइटम वैलिडेशन' (आईईवी) के रूप में जाना जाता है, और यह कड़ी जांच की एक श्रृंखला है जो मैलवेयर की पहचान करने के लिए प्लगइन के कोड और इंस्टॉल होने पर उसके व्यवहार की जांच करती है।
Google ने एक प्रकार का 'स्टाइल गाइड' भी प्रकाशित किया है जो डेवलपर्स को बताता है कि किन व्यवहारों की अनुमति है, और स्पष्ट रूप से दूसरों को हतोत्साहित करता है। उदाहरण के लिए, क्रॉस-साइट स्क्रिप्टिंग हमलों के जोखिम को कम करने के लिए इनलाइन जावास्क्रिप्ट - जावास्क्रिप्ट का उपयोग करना मना है जो एक अलग फ़ाइल में संग्रहीत नहीं है।
Google 'eval' के उपयोग को भी दृढ़ता से हतोत्साहित करता है, जो एक प्रोग्रामिंग निर्माण है जो कोड को कोड निष्पादित करने की अनुमति देता है, और सभी प्रकार के सुरक्षा जोखिमों को पेश कर सकता है। वे दूरस्थ, गैर-Google सेवाओं से कनेक्ट होने वाले प्लग इन के लिए भी बहुत उत्सुक नहीं हैं, क्योंकि इससे मैन-इन-द-मिडिल (MITM) हमले का खतरा होता है।
ये सरल कदम हैं, लेकिन अधिकांश भाग के लिए उपयोगकर्ताओं को सुरक्षित रखने में प्रभावी हैं। एलियनवेयर के सुरक्षा अधिवक्ता जावद मलिक को लगता है कि यह सही दिशा में एक कदम है, लेकिन ध्यान दें कि उपयोगकर्ताओं को सुरक्षित रखने में सबसे बड़ी चुनौती शिक्षा का मुद्दा है।
<ब्लॉकक्वॉट>"अच्छे और बुरे सॉफ्टवेयर के बीच अंतर करना कठिन होता जा रहा है। पैराफ्रेश करने के लिए, एक आदमी वैध सॉफ्टवेयर एक और आदमी की पहचान-चोरी, गोपनीयता-समझौता दुर्भावनापूर्ण वायरस है जो नरक के आंतों में कोडित है।" मुझे गलत मत समझो, मैं स्वागत करता हूं इन दुर्भावनापूर्ण एक्सटेंशनों को हटाने के लिए Google का कदम - इनमें से कुछ को शुरू करने के लिए कभी भी सार्वजनिक नहीं किया जाना चाहिए था। लेकिन Google जैसी कंपनियों के लिए आगे बढ़ने वाली चुनौती एक्सटेंशन को नियंत्रित करना और स्वीकार्य व्यवहार की सीमाओं को परिभाषित करना है। एक ऐसी बातचीत जो सुरक्षा या तकनीक से परे हो और इंटरनेट का उपयोग करने वाले समाज के लिए एक प्रश्न हो।"
Google का उद्देश्य यह सुनिश्चित करना है कि उपयोगकर्ताओं को ब्राउज़र प्लग इन स्थापित करने से जुड़े जोखिमों के बारे में सूचित किया जाए। Google क्रोम ऐप स्टोर पर प्रत्येक एक्सटेंशन आवश्यक अनुमतियों के बारे में स्पष्ट है, और आपके द्वारा दी गई अनुमतियों से अधिक नहीं हो सकता है। यदि कोई एक्सटेंशन असामान्य लगने वाले काम करने के लिए कह रहा है, तो आपके पास संदेह का कारण है।
लेकिन कभी-कभी, जैसा कि हम सभी जानते हैं, मैलवेयर फिसल जाता है।
जब Google इसे गलत करता है
Google, आश्चर्यजनक रूप से, काफी तंग जहाज रखता है। कम से कम जब Google क्रोम वेब स्टोर की बात आती है, तो उनकी घड़ी से ज्यादा फिसलता नहीं है। हालांकि, जब कुछ होता है, तो वह बुरा होता है।
- AddToFeedly एक क्रोम प्लगइन था जो उपयोगकर्ताओं को उनके Feedly RSS रीडर सब्सक्रिप्शन में एक वेबसाइट जोड़ने की अनुमति देता था। इसने एक हॉबीस्ट डेवलपर द्वारा जारी एक वैध उत्पाद के रूप में जीवन शुरू किया, लेकिन 2014 में चार अंकों की राशि के लिए खरीदा गया था। नए मालिकों ने तब सुपरफिश एडवेयर के साथ प्लगइन लगाया, जिसने विज्ञापनों को पृष्ठों में इंजेक्ट किया और पॉप-अप को जन्म दिया। सुपरफिश ने इस साल की शुरुआत में कुख्याति प्राप्त की जब यह पता चला कि लेनोवो इसे अपने सभी लो-एंड विंडोज लैपटॉप के साथ शिपिंग कर रहा था।
- वेबपेज स्क्रीनशॉट उपयोगकर्ताओं को उनके द्वारा देखे जा रहे वेबपेज की संपूर्णता की एक छवि कैप्चर करने की अनुमति देता है, और 1 मिलियन से अधिक कंप्यूटरों पर स्थापित किया गया है। हालाँकि, यह संयुक्त राज्य में उपयोगकर्ता की जानकारी को एकल IP पते पर भी प्रसारित कर रहा है। वेबपेज स्क्रीनशॉट के मालिकों ने किसी भी गलत काम से इनकार किया है, और जोर देकर कहा कि यह उनकी गुणवत्ता आश्वासन प्रथाओं का हिस्सा था। Google ने तब से इसे क्रोम वेब स्टोर से हटा दिया है।
- Adicionar Ao Google Chrome एक दुष्ट एक्सटेंशन था जिसने Facebook खातों को हाईजैक कर लिया, और अनधिकृत स्थिति, पोस्ट और फ़ोटो साझा किए। मैलवेयर एक साइट के माध्यम से फैला था जो YouTube की नकल करता था, और उपयोगकर्ताओं को वीडियो देखने के लिए प्लगइन स्थापित करने के लिए कहता था। Google ने तब से प्लगइन को हटा दिया है।
यह देखते हुए कि अधिकांश लोग अपनी अधिकांश कंप्यूटिंग करने के लिए क्रोम का उपयोग करते हैं, यह परेशान करने वाला है कि ये प्लगइन्स दरार से फिसलने में कामयाब रहे। लेकिन कम से कम एक प्रक्रिया थी असफल होना। जब आप कहीं और से एक्सटेंशन इंस्टॉल करते हैं, तो आप सुरक्षित नहीं होते हैं।
जिस तरह एंड्रॉइड उपयोगकर्ता अपनी इच्छानुसार कोई भी ऐप इंस्टॉल कर सकते हैं, Google आपको कोई भी क्रोम एक्सटेंशन इंस्टॉल करने देता है, जिसमें वह भी शामिल है जो क्रोम वेब स्टोर से नहीं आता है। यह केवल उपभोक्ताओं को कुछ अतिरिक्त विकल्प देने के लिए नहीं है, बल्कि डेवलपर्स को उस कोड का परीक्षण करने की अनुमति देने के लिए है जिस पर वे इसे अनुमोदन के लिए भेजने से पहले काम कर रहे हैं।
हालांकि, यह याद रखना महत्वपूर्ण है कि मैन्युअल रूप से इंस्टॉल किया गया कोई भी एक्सटेंशन Google की कठोर परीक्षण प्रक्रियाओं से नहीं गुजरा है, और इसमें सभी प्रकार के अवांछनीय व्यवहार हो सकते हैं।
आप कैसे जोखिम में हैं?
2014 में, Google ने माइक्रोसॉफ्ट के इंटरनेट एक्सप्लोरर को प्रमुख वेब ब्राउज़र के रूप में पीछे छोड़ दिया, और अब लगभग 35% इंटरनेट उपयोगकर्ताओं का प्रतिनिधित्व करता है। परिणामस्वरूप, जो कोई भी जल्दी पैसा कमाना चाहता है या मैलवेयर वितरित करना चाहता है, उसके लिए यह एक आकर्षक लक्ष्य बना रहता है।
अधिकांश भाग के लिए, Google सामना करने में सक्षम रहा है। घटनाएं हुई हैं, लेकिन उन्हें अलग-थलग कर दिया गया है। जब मैलवेयर से बचने में कामयाब हो जाता है, तो उन्होंने इससे शीघ्रता से निपटा है, और उस व्यावसायिकता के साथ जिसकी आप Google से अपेक्षा करते हैं।
हालांकि, यह स्पष्ट है कि एक्सटेंशन और प्लग इन संभावित अटैक वेक्टर हैं। यदि आप अपने ऑनलाइन बैंकिंग में लॉग इन करने जैसे संवेदनशील कुछ करने की योजना बना रहे हैं, तो आप इसे एक अलग, प्लगइन-मुक्त ब्राउज़र या गुप्त विंडो में करना चाहेंगे। और यदि आपके पास ऊपर सूचीबद्ध कोई एक्सटेंशन है, तो chrome://extensions/ . टाइप करें अपने Chrome पता बार में, फिर सुरक्षित रहने के लिए उन्हें ढूंढें और हटाएं.
क्या आपने कभी गलती से कोई Chrome मैलवेयर इंस्टॉल कर लिया है? कहानी कहने के लिए जीते हैं? मैं इसके बारे में सुनना चाहता हूं। मुझे नीचे एक टिप्पणी दें, और हम चैट करेंगे।