দায়িত্বে থাকা ছেলেরা ওয়েব ব্রাউজার বিকাশ ক্রোম একটি "স্বাস্থ্যকর" পরিবেশ বজায় রাখার জন্য কাজ করে চলেছে ব্রাউজার অ্যাড-অনসের মধ্যে এবং গুগলের নতুন ম্যানিফেস্ট ভি 3 এর সংহত হওয়ার পরে, বিভিন্ন সুরক্ষা পরিবর্তন বাস্তবায়ন করা হয়েছে এবং বিশেষত বিজ্ঞাপনগুলি ব্লক করতে অনেক অ্যাড-অনগুলির দ্বারা ব্যবহৃত API গুলি ব্লক করার ফলে উত্পন্ন বিতর্কগুলি।
এই সমস্ত কাজটি বিভিন্ন ফলাফলগুলিতে সংক্ষিপ্ত করা হয়েছে, কোনটি বেশ কয়েকটি দূষিত অ্যাড-অনগুলি ব্লক করার বিষয়টি প্রকাশিত হয়েছিল যেগুলি ক্রোম স্টোরে পাওয়া গেছে।
প্রথম পর্যায়ে স্বতন্ত্র তদন্তকারী মো জামিলা কায়া এবং সংস্থা ডুও সিকিউরিটি বিভিন্ন ধরণের Chomre এক্সটেনশন সনাক্ত করেছে যা প্রাথমিকভাবে "বৈধভাবে" পরিচালনা করে, তবে এগুলির কোডের গভীর বিশ্লেষণে, পটভূমিতে চলমান অপারেশনগুলি সনাক্ত করা হয়েছিল, যার মধ্যে অনেকে ব্যবহারকারীর ডেটা বের করেছেন।
সিসকো ডুও সুরক্ষা ক্রম এক্সটেনশনগুলি সংস্থাগুলির কাছে উপস্থিত হবে এবং এই ঝুঁকি হ্রাস করতে অন্যদের জন্য ক্রোম এক্সটেনশনের একটি বাস্তুতন্ত্র তৈরি করতে সকলের জন্য নিরাপদ করার জন্য আমাদের তাত্ত্বিক ক্রোম এক্সটেনশনের সুরক্ষা মূল্যায়ন সরঞ্জামটি সিআরএক্সক্যাভেটর গত বছরের জন্য বিনামূল্যে মুক্তি দিয়েছে।
গুগলে সমস্যার প্রতিবেদন করার পরে, ক্যাটালগটিতে 430 টিরও বেশি অ্যাড-অন পাওয়া গেছে, যার ইনস্টলেশন সংখ্যা রিপোর্ট করা হয়নি।
এটি লক্ষণীয় যে চিত্তাকর্ষক সংখ্যক সুযোগ-সুবিধা থাকা সত্ত্বেও সমস্যাযুক্ত প্লাগইনের কোনওটিরই ব্যবহারকারী পর্যালোচনা নেই, প্লাগইনগুলি কীভাবে ইনস্টল করা হয়েছিল এবং কীভাবে দূষিত ক্রিয়াকলাপটি সনাক্ত করা যায় নি তা নিয়ে প্রশ্ন উত্থাপন।
এখন, সমস্ত সমস্যাযুক্ত প্লাগইনগুলি ক্রোম ওয়েব স্টোর থেকে সরানো হয়েছে। গবেষকদের মতে, ব্লকড প্লাগইন সম্পর্কিত দূষিত ক্রিয়াকলাপ জানুয়ারী 2019 থেকে শুরু হয়েছে, তবে দূষিত ক্রিয়াকলাপের জন্য ব্যবহৃত ব্যক্তিগত ডোমেনগুলি 2017 সালে রেকর্ড করা হয়েছিল।
জামিলা কেয়া গুগল ক্রোম জালিয়াতি সনাক্তকরণ এড়াতে গিয়ে ম্যালভার্টাইজিংয়ের মাধ্যমে ডেটা উত্তোলনকারী কপিরাইট ক্রোম এক্সটেনশনের একটি বৃহত আকারের প্রচারণা উন্মোচন করতে সিআরএক্সক্যাভেটার ব্যবহার করেছিল। এই এক্সটেনশানগুলি এবং তাদের মতো অন্যদের অবিলম্বে সন্ধান এবং অপসারণ করা হয়েছে তা নিশ্চিত করতে দুজন, জামিলা এবং গুগল একসাথে কাজ করেছিল।
বেশির ভাগ দূষিত অ্যাড-অনগুলি পণ্য প্রচারের সরঞ্জাম হিসাবে উপস্থাপন করা হয়েছিল এবং বিজ্ঞাপন পরিষেবাদিতে অংশ নেওয়া (ব্যবহারকারী বিজ্ঞাপন দেখেন এবং ছাড়গুলি গ্রহণ করেন)। এছাড়াও, অনুরোধ করা সাইটটি প্রদর্শনের আগে কোনও স্ট্রিংয়ে প্রদর্শিত পৃষ্ঠাগুলি খোলার সময় বিজ্ঞাপনী সাইটগুলিতে পুনঃনির্দেশ করার কৌশলটি ব্যবহৃত হয়েছিল।
সমস্ত প্লাগইনগুলি দূষিত ক্রিয়াকলাপটি আড়াল করতে একই কৌশল ব্যবহার করেছিল এবং Chrome ওয়েব স্টোরের প্লাগ-ইন যাচাইকরণ প্রক্রিয়াগুলিকে বাইপাস করুন।
সমস্ত প্লাগইনগুলির কোড প্রতিটি স্তরের প্লাগইনের জন্য স্বতন্ত্র ফাংশন নামগুলি বাদ দিয়ে উত্স স্তরে প্রায় অভিন্ন ছিল। দূষিত যুক্তি কেন্দ্রিয় পরিচালন সার্ভার থেকে প্রেরণ করা হয়েছিল।
প্রাথমিকভাবে, প্লাগইন কোনও ডোমেনের সাথে সংযুক্ত যা প্লাগইন নামটির মতো একই নাম (উদাহরণস্বরূপ Mapstrek.com), এর পরে এটি এমন একটি পরিচালনা সার্ভারে পুনর্নির্দেশ করা হয়েছিল যা অতিরিক্ত ক্রিয়াগুলির জন্য স্ক্রিপ্ট সরবরাহ করে।
সম্পাদিত কর্মগুলির মধ্যে প্লাগইনগুলির মাধ্যমে গোপনীয় ব্যবহারকারীর ডেটা ডাউনলোড করুন বাহ্যিক সার্ভারে, দূষিত সাইটগুলিতে ফরোয়ার্ড করা এবং দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন অনুমোদন (উদাহরণস্বরূপ, কম্পিউটারের সংক্রমণ সম্পর্কে একটি বার্তা প্রদর্শিত হয় এবং ম্যানওয়্যার কোনও অ্যান্টিভাইরাস বা ব্রাউজার আপডেটের আওতায় দেওয়া হয়)।
পুনঃনির্দেশিত ডোমেনগুলির মধ্যে পুরানো ব্রাউজারগুলি শোষণের জন্য বিভিন্ন ফিশিং ডোমেন এবং সাইট অন্তর্ভুক্ত যার মধ্যে অপ্রচলিত দুর্বলতা রয়েছে (উদাহরণস্বরূপ, দূষিত প্রোগ্রাম ইনস্টল করার চেষ্টা করা হয়েছিল যা পাসওয়ার্ডগুলিকে বাধা দেয় এবং ক্লিপবোর্ডের মাধ্যমে গোপনীয় ডেটা স্থানান্তর বিশ্লেষণ করে)।
আপনি যদি নোটটি সম্পর্কে আরও জানতে চান তবে আপনি মূল প্রকাশনার সাথে পরামর্শ করতে পারেন নীচের লিঙ্কে।