भरोसेमंद एक्सटेंशन के छिपे हुए जोखिमों के खिलाफ अपने डिजिटल पदचिह्न को सुरक्षित करना

मुझे दो साल पहले एक वित्तीय सेवा फर्म के लिए किया गया एक फॉरेंसिक ऑडिट याद है, जो एक निरंतर सेशन हाईजैकिंग (session hijacking) की घटना से जूझ रही थी। हमने कई दिनों तक उन्नत खतरों और परिष्कृत मैलवेयर की खोज की। अंततः हमें अपराधी मिल गया: एक मौसम विजेट एक्सटेंशन जिसे एक जूनियर विश्लेषक ने लंदन के तापमान पर नज़र रखने के लिए इंस्टॉल किया था। वह एक्सटेंशन तीन साल तक वैध था, इससे पहले कि एक नए मालिक ने एक साइलेंट अपडेट पेश किया जिसने कुकी डेटा चुराया। यही कारण है कि आइलैंड (Island) के शोधकर्ताओं ओलेग ज़ैतसेव और शचर ग्रिट्ज़मैन द्वारा 'Adblock for YouTube' एक्सटेंशन के संबंध में हालिया निष्कर्ष बहुत परिचित लगते हैं। इस एक्सटेंशन के 10 मिलियन से अधिक इंस्टॉल हैं और क्रोम वेब स्टोर में इस पर 'Featured' बैज लगा है। यह औसत उपयोगकर्ता के लिए एक विश्वसनीय उपकरण के रूप में दिखाई देता है। हालांकि, इसकी अंतर्निहित संरचना संभावित शोषण की एक अलग कहानी बयां करती है।

क्रोम वेब स्टोर बैज का नाजुक भरोसा

उपयोगकर्ता अक्सर क्रोम वेब स्टोर को एक सुरक्षित स्थान के रूप में देखते हैं जहाँ गूगल कोड की हर पंक्ति की जाँच करता है। 'Featured' बैज एक डिजिटल अनुमोदन की मुहर के रूप में कार्य करता है जो लाखों लोगों को तीसरे पक्ष के डेवलपर्स को व्यापक अनुमति देने के लिए प्रोत्साहित करता है। यह एक्सटेंशन, जिसकी पहचान आईडी cmedhionkhpnakcndndgjdbohmhepckk है, 2014 से उपलब्ध है। यह यूट्यूब वीडियो और बाहरी एम्बेड से विज्ञापनों को हटाकर ठीक वैसा ही काम करता है जैसा विज्ञापित किया गया है। यह अपेक्षित व्यवहार उन सुप्त क्षमताओं के लिए एक आदर्श आवरण प्रदान करता है जो सामान्य पर्यवेक्षक के लिए अदृश्य रहती हैं।

जोखिम के दृष्टिकोण से, 'Featured' बैज की उपस्थिति दीर्घकालिक सुरक्षा की गारंटी नहीं देती है। सबमिशन के समय समीक्षा प्रक्रिया केवल उस समय की एक स्थिति होती है। यह इस बात पर ध्यान नहीं देती है कि इंस्टॉलेशन के बाद कोई एक्सटेंशन अपने कमांड-एंड-कंट्रोल सर्वर के साथ कैसे संचार करता है। आधुनिक ब्राउज़र ऐड-ऑन की संरचना डायनेमिक कॉन्फ़िगरेशन परिवर्तनों की अनुमति देती है जो नए संस्करण अपडेट की आवश्यकता के बिना कोड के व्यवहार को बदल देते हैं। यह स्टोर द्वारा समीक्षा की गई चीज़ और उपयोगकर्ता द्वारा वास्तव में अपने ब्राउज़र में चलाए जा रहे कोड के बीच एक अंतर पैदा करता है।

एक सुप्त रिमोट एक्जीक्यूशन पाथ की शारीरिक रचना

आइलैंड की रिपोर्ट 'trusted-create-element' नामक एक विशिष्ट स्क्रिप्टलेट नियम पर केंद्रित है। यह एक्सटेंशन लेखक द्वारा परिभाषित एक विशेष तंत्र है। यह एक्सटेंशन को उपयोगकर्ता द्वारा देखी जाने वाली किसी भी वेब पेज पर नए स्क्रिप्ट तत्व बनाने की अनुमति देता है। एक मानक सुरक्षा मॉडल में, यह एक उपयोगिता कार्यकर्ता (utility worker) के समान है जिसके पास इमारत के हर कमरे की मास्टर चाबी है। कार्यकर्ता को केवल पाइप ठीक करने के लिए माना जाता है, लेकिन चाबी उसे मिलने वाली किसी भी तिजोरी को खोलने की क्षमता देती है।

विश्लेषण के समय, यह क्षमता सुप्त थी। सर्वर-साइड कॉन्फ़िगरेशन ने दुर्भावनापूर्ण स्क्रिप्ट के इंजेक्शन को ट्रिगर नहीं किया था। यह लाखों ब्राउज़रों में अपनी पकड़ बनाए रखने का एक गुप्त तरीका है। इस क्षमता को सक्रिय करने के लिए डेवलपर के सर्वर पर केवल एक बदलाव की आवश्यकता होती है। इसके लिए स्टोर समीक्षा या एक्सटेंशन अपडेट की कोई आवश्यकता नहीं है। उपयोगकर्ता के लिए कोई दृश्य संकेत नहीं है कि एक्सटेंशन अचानक उनके निजी संदेशों को पढ़ने या लॉगिन क्रेडेंशियल चोरी करने में सक्षम हो गया है। यह क्षमता डेस्क की दराज में रखी एक भरी हुई बंदूक की तरह है। इसे चलाया नहीं जा रहा है, लेकिन खतरा लगातार बना हुआ है।

एक साधारण URL जाँच उपयोगकर्ताओं की सुरक्षा करने में क्यों विफल रहती है

'Adblock for YouTube' के डेवलपर्स ने एक जाँच शामिल की थी जिसका उद्देश्य इसकी गतिविधि को प्रासंगिक साइटों तक सीमित करना था। एक्सटेंशन को अपनी विज्ञापन-अवरोधन सुविधाओं को केवल तभी सक्रिय करना चाहिए जब URL में youtube.com हो। एक मजबूत सुरक्षा कार्यान्वयन होस्टनाम या फ्रेम के मूल को मान्य करेगा ताकि यह सुनिश्चित हो सके कि कोड केवल इच्छित डोमेन पर चलता है। यह एक्सटेंशन एक साधारण स्ट्रिंग मिलान का उपयोग करता है जो URL में कहीं भी वर्णों के अनुक्रम की तलाश करता है।

यह एक मौलिक संरचनात्मक विफलता है। एक उपयोगकर्ता bank.example.com पर एक बैंक वेबसाइट पर जाता है। यदि कोई हमलावर या दुर्भावनापूर्ण कॉन्फ़िगरेशन उस URL के अंत में ?ref=youtube.com जैसा क्वेरी पैरामीटर जोड़ता है, तो एक्सटेंशन सक्रिय हो जाता है। जाँच संतुष्ट हो जाती है क्योंकि वह स्ट्रिंग पाथ में मौजूद है। एक्सटेंशन के पास अब पेज में हेरफेर करने, स्क्रिप्ट इंजेक्ट करने और बैंकिंग पोर्टल पर संवेदनशील डेटा पढ़ने का अधिकार है। यह बाईपास बुनियादी URL संरचनाओं को समझने वाले किसी भी व्यक्ति के लिए मामूली है। यह साइट-विशिष्ट सुरक्षा को पूरी तरह से अप्रभावी बना देता है।

विज्ञापन-इंजेक्शन और स्वामित्व परिवर्तन के इतिहास पर नज़र रखना

सॉफ्टवेयर के किसी टुकड़े की वंशावली उसके वर्तमान कोड जितनी ही महत्वपूर्ण है। 'Adblock for YouTube' 2014 में एक साधारण प्रोजेक्ट के रूप में शुरू हुआ था लेकिन 2018 में इसका स्वामित्व बदल गया। एक्सटेंशन इकोसिस्टम में यह एक सामान्य पैटर्न है। छोटे डेवलपर्स अपने लोकप्रिय टूल उन फर्मों को बेच देते हैं जो बड़े इंस्टॉल बेस से पैसा कमाना चाहती हैं। ये नए मालिक कभी-कभी अपने निवेश की भरपाई के लिए आक्रामक डेटा संग्रह या विज्ञापन-इंजेक्शन SDK पेश करते हैं।

आइलैंड के शोधकर्ताओं ने पाया कि इस एक्सटेंशन के पुराने संस्करणों ने 'Unistream SDK' नामक विज्ञापन-इंजेक्शन टूल का उपयोग किया था। डेवलपर्स ने जून 2024 में इस SDK को हटा दिया, लेकिन रिमोट-कंट्रोल स्क्रिप्ट इंजेक्शन पाथ फरवरी 2025 से मौजूद हैं। विज्ञापन-इंजेक्शन के साथ प्रयोग का यह इतिहास उपयोगकर्ता की गोपनीयता से मुद्रीकरण की ओर प्राथमिकताओं में बदलाव का सुझाव देता है। यह एक्सटेंशन कई अन्य विज्ञापन ब्लॉकर्स से भी जुड़ा हुआ है, जैसे 'Adblock for Chrome' और 'Adblock Suite', जिन्हें गूगल ने पहले मैलवेयर होने के कारण हटा दिया था। जब एक ही वंशावली के कई उत्पाद दुर्भावनापूर्ण इरादे के संकेत दिखाते हैं, तो जोखिम का स्तर सैद्धांतिक से संभावित में बदल जाता है।

व्यापक एक्सटेंशन अनुमतियों के साथ प्रणालीगत समस्या

विज्ञापन ब्लॉकर्स को काम करने के लिए व्यापक अनुमतियों की आवश्यकता होती है। उन्हें ट्रैकर्स को ब्लॉक करने के लिए हर वेब अनुरोध को देखना चाहिए और विज्ञापन तत्वों को छिपाने के लिए डॉक्यूमेंट ऑब्जेक्ट मॉडल (DOM) को संशोधित करना चाहिए। यह एक्सेस का एक मिशन-क्रिटिकल स्तर है। अधिकांश उपयोगकर्ता ब्राउज़र ऐड-ऑन के सभी वेबसाइटों पर सभी डेटा को पढ़ने और बदलने की शक्ति के निहितार्थ पर विचार किए बिना "अनुमति दें" पर क्लिक कर देते हैं। यह आधुनिक वेब सुरक्षा का संरचनात्मक विरोधाभास है। हम अपनी गोपनीयता में सुधार के लिए टूल इंस्टॉल करते हैं, लेकिन वे टूल हमसे हमारे ब्राउज़र सत्र का पूर्ण नियंत्रण छोड़ने की मांग करते हैं।

खतरे के परिदृश्य को देखते हुए, ब्राउज़र एक्सटेंशन एक आदर्श ट्रोजन हॉर्स हैं। वे ब्राउज़र की सुरक्षा परिधि के भीतर बैठते हैं। वे पारंपरिक नेटवर्क फ़ायरवॉल को बायपास कर देते हैं क्योंकि उनका ट्रैफ़िक एक विश्वसनीय एप्लिकेशन से मानक HTTPS अनुरोधों जैसा दिखता है। यदि कोई एक्सटेंशन समझौताग्रस्त हो जाता है, तो हमलावर उपयोगकर्ता के रूप में कार्य करता है। वे कार्य ऐप्स में क्रियाएं कर सकते हैं, एडमिन पैनल तक पहुंच सकते हैं, और एन्क्रिप्टेड ईमेल पढ़ सकते हैं जब वे ब्राउज़र विंडो में डिक्रिप्ट हो जाते हैं। ब्राउज़र आधुनिक कार्यकर्ता के लिए प्राथमिक ऑपरेटिंग सिस्टम है, और एक्सटेंशन उस सिस्टम में सबसे कमजोर ड्राइवर हैं।

अपनी ब्राउज़र सुरक्षा का ऑडिट करने के लिए व्यावहारिक कदम

आपको हर ब्राउज़र एक्सटेंशन को एक संभावित भेद्यता के रूप में मानना चाहिए। यहाँ तक कि लाखों उपयोगकर्ताओं वाले टूल का उपयोग डेटा चोरी के लिए किया जा सकता है। डेटा अखंडता बनाए रखने के लिए एक्सटेंशन प्रबंधन के प्रति एक सक्रिय दृष्टिकोण आवश्यक है। आपको अपने ब्राउज़र में वर्तमान में इंस्टॉल किए गए प्रत्येक ऐड-ऑन के विस्तृत ऑडिट के साथ शुरुआत करनी चाहिए। यदि आपने पिछले तीस दिनों में किसी एक्सटेंशन का उपयोग नहीं किया है, तो आपको उसे तुरंत हटा देना चाहिए। प्रत्येक इंस्टॉल किया गया एक्सटेंशन आपके हमले की सतह (attack surface) को बढ़ाता है।

व्यावसायिक नेताओं के लिए, समाधान न्यूनतम विशेषाधिकार (least privilege) की नीति है। आपको पूरे संगठन में एक्सटेंशन प्रबंधित करने के लिए समूह नीतियों का उपयोग करना चाहिए। आप स्वीकृत एक्सटेंशन की एक अनुमति-सूची (allow-list) बना सकते हैं जिनकी तकनीकी समीक्षा की गई है। आपको एंटरप्राइज़ ब्राउज़र या सुरक्षा परतों का उपयोग करने पर भी विचार करना चाहिए जो वास्तविक समय में अनधिकृत स्क्रिप्ट इंजेक्शन का पता लगा सकते हैं। अपनी उचित सावधानी बरतने के लिए क्रोम वेब स्टोर पर भरोसा न करें। 'Featured' बैज की उपस्थिति एक प्रारंभिक बिंदु है, अंतिम निष्कर्ष नहीं। आपको उस सॉफ़्टवेयर के व्यवहार को सत्यापित करना चाहिए जिस पर आप अपने सबसे संवेदनशील डेटा के साथ भरोसा करते हैं।

बेहतर ब्राउज़र स्वच्छता के लिए मुख्य सुझाव:

1. अपने एक्सटेंशन का मासिक ऑडिट करें और उन्हें हटा दें जो अब आवश्यक नहीं हैं।
2. सभी साइटों तक पहुंच की अनुमति देने के बजाय विशिष्ट वेबसाइटों तक एक्सटेंशन पहुंच को सीमित करने के लिए अंतर्निहित ब्राउज़र सेटिंग्स का उपयोग करें।
3. इंस्टॉलेशन से पहले लोकप्रिय एक्सटेंशन के स्वामित्व इतिहास पर शोध करें।
4. अप्रत्याशित रीडायरेक्ट या सर्च इंजन व्यवहार में बदलाव के लिए अपने ब्राउज़र की निगरानी करें।
5. शैडो आईटी (shadow IT) को रोकने के लिए कॉर्पोरेट वातावरण में ब्राउज़र एक्सटेंशन के लिए अनुमति-सूची लागू करें।

स्रोत: Island Research Report by Oleg Zaytsev and Shachar Gritzman, Palo Alto Networks Unit 42, NIST Guide to Malware Incident Prevention and Handling (SP 800-83).

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है और पेशेवर साइबर सुरक्षा ऑडिट या घटना प्रतिक्रिया सेवा का स्थान नहीं लेता है।