প্রধান টেকওয়ে
- Chrome ওয়েব স্টোরের বেশিরভাগ এক্সটেনশনের জন্য বিপজ্জনক অনুমতির প্রয়োজন হয় যা ক্ষতিকারক উদ্দেশ্যে অপব্যবহার করা যেতে পারে।
- সমস্ত ওয়েব ব্রাউজার পথমুখী এক্সটেনশনের সমস্যা মোকাবেলা করার চেষ্টা করছে।
- Google-এর ম্যানিফেস্ট V3 হল এমনই একটি সমাধান যা কিছু সমস্যা মোকাবেলা করে কিন্তু এক্সটেনশনগুলিতে উপলব্ধ অনুমতিগুলিতে রাজত্ব করতে খুব কমই করে৷
মনে আছে সেই বানান-পরীক্ষাকারী ব্রাউজার এক্সটেনশন যা আপনার টাইপ করা সমস্ত কিছু পড়ার এবং বিশ্লেষণ করার অনুমতি চেয়েছিল? সাইবারসিকিউরিটি বিশেষজ্ঞরা সতর্ক করেছেন যে কিছু এক্সটেনশন আপনার সম্মতির অপব্যবহার করে ওয়েব ব্রাউজারে আপনার খোঁচা পাসওয়ার্ড চুরি করার সম্ভাবনা বেশি।
ব্যবহারকারীদের ওয়েব এক্সটেনশনের বিপদগুলি উপলব্ধি করতে সহায়তা করার জন্য, ডিজিটাল নিরাপত্তা সংস্থা ট্যালন রিপোর্ট করতে ক্রোম ওয়েব স্টোরকে বিশ্লেষণ করেছে যে কয়েক হাজার এক্সটেনশনের উদ্বেগজনক অনুমতিগুলিতে অ্যাক্সেস রয়েছে, যেমন সমস্ত পরিদর্শন করা সাইটে ডেটা পরিবর্তন করার ক্ষমতা, ফাইলগুলি ডাউনলোড করুন, ডাউনলোড কার্যকলাপ অ্যাক্সেস করুন এবং আরও অনেক কিছু৷
“অনেক জনপ্রিয় এক্সটেনশন ব্যবহারকারীদের ঝুঁকির মধ্যে ফেলেছে,” ট্যালন সাইবার সিকিউরিটির সহ-প্রতিষ্ঠাতা এবং CTO ওহাদ বব্রভ লাইফওয়্যারকে ইমেলের মাধ্যমে ব্যাখ্যা করেছেন। "[এমনকি] সৌম্য এক্সটেনশনগুলির কোড, বা সরবরাহ শৃঙ্খলে দুর্বলতা থাকতে পারে এবং দূষিত অভিনেতাদের দ্বারা টেকওভারের জন্য সংবেদনশীল হতে পারে৷"
ওয়েওয়ার্ড এক্সটেনশন
Talon যুক্তি দেয় যে এক্সটেনশনগুলি তাদের ব্যবহারকারীদের জন্য দুর্দান্ত মূল্য দেয় এবং ওয়েব ব্রাউজারগুলিতে বিজ্ঞাপন-ব্লকিং, বানান পরীক্ষা, পাসওয়ার্ড পরিচালনা এবং আরও অনেক কিছুর মতো দরকারী বৈশিষ্ট্য নিয়ে আসে। যাইহোক, এই কার্যকারিতা আনতে, এক্সটেনশনগুলির ব্রাউজার, এর আচরণ এবং পরিদর্শন করা ওয়েবসাইটগুলি সংশোধন করার জন্য বিস্তৃত অনুমতির প্রয়োজন হয়৷
“স্বাভাবিকভাবেই, তৃতীয় পক্ষের অভিনেতাদের কাছ থেকে নিয়ন্ত্রণের এই স্তর এবং অ্যাক্সেস ব্যবহারকারীদের জন্য উল্লেখযোগ্য নিরাপত্তা এবং গোপনীয়তা হুমকির কারণ হতে পারে,” ট্যালন ব্যাখ্যা করেছেন৷
কোম্পানিটি যোগ করেছে যে Google-এর যাচাইকরণ প্রক্রিয়া সত্ত্বেও, অনেক দূষিত এক্সটেনশন ফাঁকগুলি অতিক্রম করতে পরিচালনা করে এবং লক্ষ লক্ষ ব্যবহারকারীর উপর বিরূপ প্রভাব ফেলে৷ এর বিশ্লেষণে দেখা গেছে যে Chrome ওয়েব স্টোরের সমস্ত এক্সটেনশনের 60% এর বেশি ব্যবহারকারীর ডেটা এবং কার্যকলাপ পড়ার বা পরিবর্তন করার অনুমতি রয়েছে৷
উদাহরণস্বরূপ, ট্যালন বলেছেন যে বানান এবং ব্যাকরণ পরীক্ষাকারীরা ব্যবহারকারীর পাঠ্য বিশ্লেষণ করার জন্য ওয়েব পৃষ্ঠার প্রেক্ষাপট থেকে চালিত স্ক্রিপ্টগুলি ইনজেকশন করার অনুমতির অনুরোধ করে। তারা সাধারণত ইনপুট ক্ষেত্রগুলি পরিদর্শন করে বা অন্য উপায়ে ব্যবহারকারীর কীস্ট্রোক লগিং করে এটি করে। কোম্পানী বলেছে যে এটি এক্সটেনশনগুলিকে কার্যকরভাবে পাসওয়ার্ড এবং অন্যান্য সংবেদনশীল ডেটা সহ ওয়েব পৃষ্ঠার যেকোন তথ্য সংগ্রহ এবং উত্তোলন করার অনুমতি দেয়৷
তারপরে বিজ্ঞাপন-ব্লকিং আছে, যা Chrome ওয়েব স্টোরের শীর্ষস্থানীয় কিছু এক্সটেনশন তৈরি করে। এই কার্যকারিতা পৃষ্ঠা থেকে উপাদানগুলি সরানো জড়িত এবং বানান-পরীক্ষকদের মতো একই অনুমতির প্রয়োজন৷
এটা অজানা কি ডেটা অপসারণ করা হয়েছিল, তবে এটি সম্ভাব্যভাবে পাসওয়ার্ড সহ যেকোনো পৃষ্ঠা থেকে কিছু চুরি করতে পারে৷
একইভাবে, স্ক্রিন-শেয়ারিং এবং ভিডিও-কনফারেন্স এক্সটেনশনকে তাদের উদ্দেশ্যমূলক কাজ করার জন্য দেওয়া অনুমতিগুলিও ব্যবহারকারীর স্ক্রিন এবং অডিও ক্যাপচার করতে অপব্যবহার করা যেতে পারে।
"গত কয়েক মাসে ইউব্লক অরিজিনে দুটি দুর্বলতা পাওয়া গেছে, যা আক্রমণকারীদের সমস্ত সাইটের ডেটা পড়তে এবং পরিবর্তন করতে এবং ব্যবহারকারীর সংবেদনশীল তথ্য চুরি করার জন্য এক্সটেনশনের অনুমতিকে কাজে লাগাতে দেয়," বব্রভ আমাদের বলেছেন৷
"ইউব্লক অরিজিনের মতো বিজ্ঞাপন ব্লকারগুলি অত্যন্ত জনপ্রিয় এবং সাধারণত ব্যবহারকারীর প্রতিটি পৃষ্ঠায় অ্যাক্সেস থাকে৷ পর্দার আড়ালে, তারা সম্প্রদায়-প্রদত্ত ফিল্টার তালিকা দ্বারা চালিত - CSS নির্বাচক যা নির্দেশ করে কোন উপাদানগুলিকে ব্লক করতে হবে৷ তালিকাগুলি সম্পূর্ণরূপে বিশ্বস্ত নয়, তাই ব্যবহারকারীর ডেটা চুরি করা থেকে দূষিত নিয়মগুলি প্রতিরোধ করতে তারা সীমাবদ্ধ, " নিরাপত্তা গবেষক গ্যারেথ হেইস লিখেছেন কারণ তিনি পাসওয়ার্ড চুরি করার জন্য এক্সটেনশনে দুর্বলতা ব্যবহার করে দেখিয়েছিলেন৷
বব্রভ আরও শেয়ার করেছেন যে 2019 সালে জনপ্রিয় দ্য গ্রেট সাসপেন্ডার এক্সটেনশন, যার দুই মিলিয়নেরও বেশি ব্যবহারকারী ছিল, একজন দূষিত অভিনেতা কিনেছিলেন, যিনি অ-পর্যালোচনা করা, দূরবর্তীভাবে হোস্ট করা কোড চালানোর জন্য স্ক্রিপ্টগুলি ইনজেকশন করার অনুমতিগুলিকে কাজে লাগিয়েছিলেন ওয়েব পেজে।
"কি ডেটা বের করে দেওয়া হয়েছিল তা অজানা," তিনি বলেছিলেন, "তবে এটি পাসওয়ার্ড সহ যে কোনও পৃষ্ঠা থেকে সম্ভাব্য কিছু চুরি করতে পারে৷"
কোন বাস্তব সমাধান নেই
বব্রভ বলেছেন যে ক্রোম এবং কার্যত অন্যান্য সমস্ত নেতৃস্থানীয় ওয়েব ব্রাউজারগুলি এক্সটেনশনগুলির দ্বারা সৃষ্ট নিরাপত্তা ঝুঁকি ধারণ করার জন্য কাজ করছে, শুধুমাত্র তাদের যাচাইকরণ প্রক্রিয়ার উন্নতির মাধ্যমে নয় বরং কিছু এক্সটেনশনের ক্ষমতা সীমিত করেও৷
এমন একটি সাম্প্রতিক পদক্ষেপ Bobrov নির্দেশ করেছে Google এর ম্যানিফেস্ট V3। তিনি বলেছেন যে গড় ব্যবহারকারীর জন্য, ম্যানিফেস্ট V3 এক্সটেনশনগুলিতে সবচেয়ে লক্ষণীয় পার্থক্য আনবে তা হল দূরবর্তীভাবে হোস্ট করা কোডের উপর সম্পূর্ণ নিষেধাজ্ঞা এবং এক্সটেনশনগুলি ওয়েব অনুরোধগুলিকে পরিবর্তন করার উপায়ে একটি পরিবর্তন।যাইহোক, তিনি যোগ করেছেন যে নেতিবাচক দিক থেকে, ম্যানিফেস্ট V3 বিজ্ঞাপন-ব্লকারদের গুরুতরভাবে বাধা দেওয়ার জন্য সমালোচিত হয়েছে৷
"সবচেয়ে উল্লেখযোগ্য প্রবণতা হল নিরাপত্তা ফাঁক বন্ধ করা, শেষ-ব্যবহারকারীর দৃশ্যমানতা এবং নিয়ন্ত্রণ বৃদ্ধি করা (যেমন, কোন সাইটগুলি এক্সটেনশনগুলি চালানোর অনুমতি দেয়), এবং এক্সটেনশনগুলি থেকে পর্যালোচনাযোগ্য কোড নিষিদ্ধ করা," বব্রভ বলেছেন৷ "এই পরিবর্তনগুলির মধ্যে কিছু Google এর ম্যানিফেস্ট V3 তে অন্তর্ভুক্ত করা হয়েছে৷ যাইহোক, এই পরিবর্তনগুলির কোনওটিই এক্সটেনশনগুলির জন্য উপলব্ধ অনুমতিগুলিকে নাটকীয়ভাবে পরিবর্তন করে না৷"