क्रोम अपडेट एक्सटेंशन पर उपयोगकर्ता नियंत्रण को मजबूत करता है

Google क्रोम के संस्करण 25 से शुरू होने पर, अन्य एप्लिकेशन द्वारा ऑफ़लाइन इंस्टॉल किए गए ब्राउज़र एक्सटेंशन तब तक सक्षम नहीं होंगे जब तक कि उपयोगकर्ता ब्राउज़र इंटरफ़ेस में एक संवाद बॉक्स के माध्यम से अपनी अनुमति न दें।

At पल डेवलपर्स के पास ऑफ़लाइन एक्सटेंशन इंस्टॉल करने के कई विकल्प हैं-ब्राउज़र इंटरफ़ेस का उपयोग न करें- विंडोज के लिए Google क्रोम में। उनमें से एक में विंडोज रजिस्ट्री में विशेष प्रविष्टियां शामिल हैं जो क्रोम को बताती है कि एक नया एक्सटेंशन स्थापित किया गया है और इसे सक्षम किया जाना चाहिए।

"यह सुविधा मूल रूप से उपयोगकर्ताओं को क्रोम में उपयोगी एक्सटेंशन जोड़ने के लिए ऑप्ट-इन करने की अनुमति देने के लिए थी। एक और आवेदन की स्थापना का एक हिस्सा, "क्रोम एक्सटेंशन के Google के उत्पाद प्रबंधक पीटर लुडविग ने शुक्रवार को एक ब्लॉग पोस्ट में कहा। दुर्भाग्यवश, उपयोगकर्ताओं द्वारा उचित स्वीकृति के बिना चुपचाप क्रोम में विस्तार स्थापित करने के लिए तीसरे पक्ष द्वारा इस सुविधा का व्यापक रूप से दुर्व्यवहार किया गया है। "

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

इस प्रकार को रोकने के लिए दुर्व्यवहार का, क्रोम 25 से शुरू होने पर, ब्राउज़र स्वचालित रूप से सभी पहले स्थापित "बाहरी" एक्सटेंशन अक्षम कर देगा और उपयोगकर्ताओं को एक बार संवाद बॉक्स के साथ पेश करेगा, यह चुनने के लिए कि वे कौन से पुन: सक्षम करना चाहते हैं।

इसके अलावा, सभी एक्सटेंशन ऑफ़लाइन विधियों का उपयोग करके इंस्टॉल किए गए हैं डिफ़ॉल्ट रूप से अक्षम हो जाएंगे और उपयोगकर्ता से पूछा जाएगा कि क्या ब्राउज़र को पुनरारंभ होने पर वे उन्हें सक्षम करना चाहते हैं।

मोज़िला ने फ़ायरफ़ॉक्स में एक साल पहले एक ही समान तंत्र को कार्यान्वित किया ताकि एक्सटेंशन ऑफ़लाइन इंस्टॉल हो जाएं अन्य कार्यक्रमों द्वारा उपयोगकर्ता पुष्टि के बिना सक्षम होने से।

सुरक्षा चिंताओं

कई हमलों ने क्रोम एक्सटेंशन सहित दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन का उपयोग किया है। उदाहरण के लिए, मई में, विकीमीडिया फाउंडेशन ने Google क्रोम एक्सटेंशन के बारे में एक चेतावनी जारी की जो विकिपीडिया पृष्ठों में नकली विज्ञापन डाल रहा था।

जुलाई में, Google ने क्रोम एक्सटेंशन को तृतीय-पक्ष वेबसाइटों से स्थापित करने की अनुमति देना बंद कर दिया, केवल ऑनलाइन इंस्टॉलेशन को प्रतिबंधित किया आधिकारिक क्रोम वेब स्टोर में पाए गए एक्सटेंशन के लिए।

इसने हमलावरों को दुर्भावनापूर्ण एक्सटेंशन वितरित करने के लिए कठिन बना दिया, लेकिन मैलवेयर ऑफ़लाइन विधियों का उपयोग कर पहले से ही समझौता किए गए सिस्टम पर नकली क्रोम एक्सटेंशन इंस्टॉल करने से नहीं रोका। आने वाले क्रोम 25 में इसका लक्ष्य है कि इसका समाधान किया जाए।

"मुझे लगता है कि यह सही दिशा में एक अच्छा कदम है, जो एक अधिक सुरक्षित ब्राउज़िंग अनुभव है," हंगरी के एक आईटी सुरक्षा शोधकर्ता ज़ोलटन बालाज ने सोमवार को ईमेल के माध्यम से कहा। बालाज़ ने पहले फ़ायरफ़ॉक्स, क्रोम और सफारी के लिए सबूत-ऑफ-अवधारणा दुर्भावनापूर्ण एक्सटेंशन बनाए ताकि यह प्रदर्शित किया जा सके कि इस तरह के उपकरण हमलावरों के हाथों में कितने शक्तिशाली हो सकते हैं।

बालाज के शोध, जो इस वर्ष कई सुरक्षा सम्मेलनों में प्रस्तुत किए गए थे, दिखाए गए नकली ब्राउज़र एक्सटेंशन को दूरस्थ रूप से नियंत्रित करने से वेब पेजों की सामग्री को संशोधित किया जा सकता है, कंप्यूटर के वेबकैम के माध्यम से स्क्रीन शॉट्स ले सकते हैं, आंतरिक नेटवर्क में रिवर्स HTTP प्रॉक्सी के रूप में कार्य कर सकते हैं, फ़ाइलों को डाउनलोड, अपलोड और निष्पादित कर सकते हैं, वितरित पासवर्ड हैश क्रैकिंग और अधिक के लिए इस्तेमाल किया जा सकता है।

हालांकि क्रोम 25 में आने वाले बदलावों से हमलावरों के लिए जीवन कठिन हो जाएगा, मैलवेयर का एक टुकड़ा अभी भी पूरी तरह से क्रोम इंस्टॉलेशन को प्रतिस्थापित कर सकता है, बालाज़ ने कहा। उन्होंने माइक्रोसॉफ्ट द्वारा प्रकाशित "सुरक्षा के 10 अपरिवर्तनीय कानून" के पहले की ओर इशारा किया, जो पढ़ता है: "यदि कोई बुरा आदमी आपको अपने कंप्यूटर पर अपना प्रोग्राम चलाने के लिए राजी कर सकता है, तो यह अब आपका कंप्यूटर नहीं है।"

जुलाई में, जब Google ने तृतीय-पक्ष वेबसाइटों से क्रोम एक्सटेंशन इंस्टॉलेशन पर प्रतिबंध लगा दिया, तो कंपनी ने यह भी कहा कि यह दुर्भावनापूर्ण व्यवहार के लिए क्रोम वेब स्टोर में सूचीबद्ध सभी एक्सटेंशन का विश्लेषण करना शुरू कर देगा और आपत्तिजनक लोगों को हटा देगा।

घोटालों से सावधान रहें

हालांकि, क्रोम वेब स्टोर में कई मौकों पर दुर्भावनापूर्ण एक्सटेंशन पाए गए हैं, यह सुझाव देते हुए कि Google का विस्तार स्कैनिंग और समीक्षा तंत्र को छोड़ दिया जा सकता है। 30 अगस्त को, बराक्यूडा नेटवर्क के शोधकर्ताओं ने चेतावनी दी थी कि फेसबुक स्कैमर Google द्वारा एक्सटेंशन को हटाए जाने से पहले क्रोम वेब स्टोर में होस्ट किए गए कई दुर्भावनापूर्ण क्रोम एक्सटेंशन इंस्टॉल करने के लिए 90,000 से अधिक उपयोगकर्ताओं को चाल करने में कामयाब रहे।

फेसक्रुक से एक दिसंबर 20 अलर्ट, एक समूह जो फेसबुक के खतरों पर नज़र रखता है, ने इस घोटाले के बारे में चेतावनी दी है कि उपयोगकर्ताओं ने अपने फेसबुक प्रोफाइल की रंग योजना को बदलकर एक दुष्ट क्रोम एक्सटेंशन स्थापित करने के लिए धोखा दिया है।

बालाज़ के मुताबिक, दुर्भावनापूर्ण विस्तार डेवलपर्स क्रोम वेब को बाईपास करने का प्रबंधन करते हैं बालाज़ ने कहा कि स्टोर की मैलवेयर पहचान प्रणाली आश्चर्यजनक नहीं है।

अन्य गैर-दुर्भावनापूर्ण कार्यों के अंदर जावास्क्रिप्ट कोड को अवरुद्ध करना या दुर्भावनापूर्ण कार्यों को छिपाना, या गैर-दुर्भावनापूर्ण एक्सटेंशन बनाना और अद्यतन में दुर्भावनापूर्ण फ़ंक्शंस जोड़ना बहुत आसान है। बालाज ने कहा, "यह वही बिल्ली और माउस गेम है जिसे हम मैलवेयर डेवलपर्स और एवी उद्योग के बीच देखते हैं।"

"ब्राउज़र एक्सटेंशन सुरक्षा की बात आती है तो Google अभी सुरक्षा मानक है।" हालांकि, Google के लिए एक बड़ा कदम आगे पुराना एनपीएपीआई (नेटस्केप प्लगइन एप्लिकेशन प्रोग्रामिंग इंटरफेस) प्लगइन आर्किटेक्चर को हर जगह अक्षम करना होगा-अब यह विंडोज 8 मेट्रो और क्रोमियम के लिए क्रोम में अक्षम है और अधिक सुरक्षित और सैंडबॉक्स वाले मूल क्लाइंट आर्किटेक्चर को बढ़ावा देता है, उसने कहा।