हमने आपके बारे में लिखा है कि आपके ब्राउज़र एक्सटेंशन अतीत में आप पर जासूसी कर रहे हैं, लेकिन इस समस्या में सुधार नहीं हुआ है। अभी भी खराब होने वाले एक्सटेंशन की निरंतर स्ट्रीम है।
ब्राउज़र एक्सटेंशन इतने खतरनाक क्यों हैं
ब्राउज़र एक्सटेंशन आपके वेब ब्राउज़र में चलते हैं, और उन्हें अक्सर आपके द्वारा देखे जाने वाले वेब पृष्ठों पर सब कुछ पढ़ने या बदलने की क्षमता की आवश्यकता होती है।
यदि किसी एक्सटेंशन के पास आपके द्वारा देखे जाने वाले सभी वेब पृष्ठों तक पहुंच है, तो यह व्यावहारिक रूप से कुछ भी कर सकता है। यह आपके पासवर्ड और क्रेडिट कार्ड के विवरणों को कैप्चर करने के लिए एक कीलॉगर के रूप में कार्य कर सकता है, आपके द्वारा देखे जाने वाले पृष्ठों में विज्ञापन डालें, अपने खोज ट्रैफ़िक को कहीं और रीडायरेक्ट करें, जो कुछ भी आप ऑनलाइन करते हैं उसे ट्रैक करें- या इन सभी चीजों को ट्रैक करें। यदि किसी एक्सटेंशन को रसीदों या अन्य छोटी चीजों के लिए स्कैन करने की आवश्यकता है, तो शायद इसके लिए आपके ईमेल को स्कैन करने की अनुमति हैसब कुछजो बहुत खतरनाक है।
इसका मतलब यह नहीं है कि हर विस्तारहै इन चीजों को कर रहे हैं, लेकिन वेकर सकते हैंऔर यह आपको बहुत सावधान करना चाहिए।
Google क्रोम और माइक्रोसॉफ्ट एज जैसे आधुनिक वेब ब्राउज़र में एक्सटेंशन के लिए एक अनुमति प्रणाली है, लेकिन कई एक्सटेंशन को सबकुछ तक पहुंच की आवश्यकता होती है ताकि वे ठीक से काम कर सकें। यहां तक कि एक एक्सटेंशन जो सिर्फ एक वेबसाइट तक पहुंच की आवश्यकता है, खतरनाक हो सकता है। उदाहरण के लिए, Google.com पर किसी भी तरीके से Google.com को संशोधित करने के लिए एक एक्सटेंशन को Google.com पर सबकुछ तक पहुंच की आवश्यकता होगी, और इसलिए आपके ईमेल सहित आपके Google खाते तक पहुंच होगी।
ये सिर्फ प्यारे, हानिरहित छोटे उपकरण नहीं हैं। वे छोटे वेब प्रोग्राम हैं जो आपके वेब ब्राउज़र तक पहुंच के विशाल स्तर के साथ हैं, और इससे उन्हें खतरनाक बना दिया जाता है। यहां तक कि एक एक्सटेंशन जो आपके द्वारा देखी जाने वाली वेब पृष्ठों पर केवल मामूली चीज़ करता है, आपको अपने वेब ब्राउज़र में जो कुछ भी करना है, उस तक पहुंच की आवश्यकता हो सकती है।
मैलवेयर में सुरक्षित एक्सटेंशन कैसे बदल सकते हैं
अगस्त 2017 में, क्रोम के लिए बहुत लोकप्रिय और व्यापक रूप से अनुशंसित वेब डेवलपर एक्सटेंशन अपहरण कर लिया गया था। डेवलपर एक फ़िशिंग हमले के लिए गिर गया, और हमलावर ने एक्सटेंशन का एक नया संस्करण अपलोड किया जिसने वेब पृष्ठों में अधिक विज्ञापन डाले। इस लोकप्रिय विस्तार के डेवलपर पर भरोसा करने वाले दस लाख से अधिक लोगों ने संक्रमित विस्तार प्राप्त कर लिया। चूंकि यह वेब डेवलपर्स के लिए एक विस्तार है, हमला बहुत खराब हो सकता था-ऐसा नहीं लगता है कि संक्रमित एक्सटेंशन एक कीलॉगर के रूप में कार्य करता है, उदाहरण के लिए।
कई अन्य परिस्थितियों में, कोई ऐसा एक्सटेंशन विकसित करता है जो बड़ी संख्या में उपयोगकर्ताओं को प्राप्त करता है, लेकिन यह आवश्यक रूप से कोई पैसा नहीं लेता है। उस डेवलपर से एक कंपनी द्वारा संपर्क किया जाता है जो विस्तार खरीदने के लिए बड़ी राशि का भुगतान करेगा। यदि डेवलपर खरीद स्वीकार करता है, तो नई कंपनी विज्ञापनों को सम्मिलित करने और ट्रैकिंग करने के लिए एक्सटेंशन को संशोधित करती है, इसे अपडेट के रूप में क्रोम वेब स्टोर पर अपलोड करती है, और सभी मौजूदा उपयोगकर्ता अब नई कंपनी के एक्सटेंशन का उपयोग कर रहे हैं-बिना किसी चेतावनी के।
यूट्यूब के लिए कण के साथ यह हुआ, जुलाई 2017 में यूट्यूब को अनुकूलित करने के लिए एक लोकप्रिय विस्तार। अतीत में कई अन्य एक्सटेंशन के साथ भी यही बात हुई है। क्रोम एक्सटेंशन डेवलपर्स ने दावा किया है कि वे लगातार अपने एक्सटेंशन खरीदने के लिए ऑफ़र प्राप्त करते हैं। 700,000 से अधिक उपयोगकर्ताओं के साथ हनी एक्सटेंशन के डेवलपर्स ने एक बार रेडडिट पर "मुझसे कुछ पूछो" चलाया, जो अक्सर उन्हें मिलने वाले प्रस्तावों का विवरण देते थे।
अपहरण और एक्सटेंशन की बिक्री के अलावा, यह भी संभव है कि एक एक्सटेंशन केवल बुरी खबर है, और जब आप इसे पहली जगह इंस्टॉल करते हैं तो गुप्त रूप से आपको ट्रैक करता है।
इसकी लोकप्रियता के कारण क्रोम पर हमला किया जा रहा है, लेकिन यह समस्या सभी ब्राउज़रों को प्रभावित करती है। फ़ायरफ़ॉक्स तर्कसंगत रूप से खतरे में भी अधिक है, क्योंकि यह किसी भी अनुमति प्रणाली का उपयोग नहीं करता है, आपके द्वारा इंस्टॉल किए गए प्रत्येक एक्सटेंशन को सबकुछ तक पूर्ण पहुंच मिलती है।
जोखिम को कम करने के लिए कैसे करें
उन कंपनियों से केवल एक्सटेंशन का उपयोग करना भी महत्वपूर्ण है जिन पर आप भरोसा करते हैं। उदाहरण के लिए, एक यादृच्छिक व्यक्ति द्वारा बनाए गए यूट्यूब को अनुकूलित करने के लिए एक एक्सटेंशन जिसे आपने कभी नहीं सुना है मैलवेयर बनने के लिए एक प्रमुख उम्मीदवार है। हालांकि, Google द्वारा निर्मित आधिकारिक जीमेल नोटिफ़ायर, माइक्रोसॉफ्ट द्वारा बनाए गए OneNote नोट लेआउट एक्सटेंशन, या लास्टपास द्वारा बनाए गए लास्टपैस पासवर्ड मैनेजर एक्सटेंशन को लगभग कुछ हज़ार रुपये के लिए निश्चित रूप से एक छायादार कंपनी को बेचा नहीं जाएगा।
जब भी संभव हो, आपको अनुमति एक्सटेंशन की आवश्यकता पर भी ध्यान देना चाहिए।उदाहरण के लिए, एक एक्सटेंशन जो केवल एक वेबसाइट को संशोधित करने का दावा करता है, केवल उस वेबसाइट तक पहुंच होनी चाहिए। हालांकि, कई एक्सटेंशन को सबकुछ तक पहुंच की आवश्यकता होती है, या एक बहुत ही संवेदनशील वेबसाइट तक पहुंच की आवश्यकता होती है जिसे आप सुरक्षित रखना चाहते हैं (जैसे आपका ईमेल)। अनुमतियां एक अच्छा विचार है, लेकिन वे बहुत उपयोगी नहीं हैं जब अधिकांश चीजों को सबकुछ तक पहुंच की आवश्यकता होती है।
यह निश्चित रूप से चलने के लिए एक अच्छी लाइन है। अतीत में, हमने कहा होगा कि वेब डेवलपर एक्सटेंशन सुरक्षित था क्योंकि यह वैध था। हालांकि, डेवलपर फिशिंग हमले के लिए गिर गया और विस्तार दुर्भावनापूर्ण हो गया। यह एक अच्छा अनुस्मारक है कि, भले ही आप किसी पर भरोसा कर सकें कि वह एक छायादार कंपनी में अपना विस्तार न बेचें, आप उस व्यक्ति पर अपनी सुरक्षा के लिए भरोसा कर रहे हैं। यदि वह व्यक्ति फिसल जाता है और अपने खाते को अपहृत कर देता है, तो आप परिणामों से निपटने को समाप्त कर देंगे-और वे वेब डेवलपर एक्सटेंशन के साथ क्या हुआ उससे भी बदतर हो सकते हैं।
