पालो आल्टो, अमेरिका, 30 जनवरी, 2025/साइबरन्यूजवायर/--स्क्वायरएक्स ने एक नई आक्रमण तकनीक का खुलासा किया है, जो दिखाती है कि दुर्भावनापूर्ण एक्सटेंशन का उपयोग ब्राउज़र को पूरी तरह से, और अंततः पूरे डिवाइस को हाईजैक करने के लिए कैसे किया जा सकता है। क्रोम एक्सटेंशन डेवलपर्स पर OAuth हमलों और डेटा एक्सफिलट्रेशन हमलों की लहर के कारण ब्राउज़र एक्सटेंशन हाल ही में एंटरप्राइज़ सुरक्षा समाचारों में सुर्खियों में रहे हैं। हालाँकि, अब तक, ब्राउज़र विक्रेताओं द्वारा एक्सटेंशन सबसिस्टम और एक्सटेंशन पर लगाई गई सीमाओं के कारण, एक्सटेंशन के लिए ब्राउज़र पर पूर्ण नियंत्रण प्राप्त करना असंभव माना जाता था, डिवाइस पर तो और भी अधिक। शोधकर्ता दक्षिता बाबू, अर्पित गुप्ता, सुंकुगरी तेजेश्वर रेड्डी और पंकज शर्मा ने यह प्रदर्शित करके इस धारणा को खारिज कर दिया कि कैसे हमलावर दुर्भावनापूर्ण एक्सटेंशन का उपयोग करके विशेषाधिकारों को बढ़ाकर न्यूनतम उपयोगकर्ता सहभागिता के साथ पूरे ब्राउज़र और डिवाइस पर कब्ज़ा कर सकते हैं। स्क्वायरएक्स गंभीर रूप से, दुर्भावनापूर्ण एक्सटेंशन को केवल पढ़ने/लिखने की क्षमता की आवश्यकता होती है, जो क्रोम स्टोर पर अधिकांश ब्राउज़र एक्सटेंशन में मौजूद होती है, जिसमें ग्रामरली, कैलेंड्ली और लूम जैसे सामान्य उत्पादकता उपकरण शामिल हैं, जो उपयोगकर्ताओं को ये अनुमतियां देने से रोकते हैं। इस खुलासे से पता चलता है कि वस्तुतः कोई भी ब्राउज़र एक्सटेंशन संभावित रूप से एक हमले के वेक्टर के रूप में काम कर सकता है यदि इसे हमलावर द्वारा बनाया या लिया जाता है। हमारी समझ के अनुसार, इन क्षमताओं का अनुरोध करने वाले क्रोम स्टोर में सबमिट किए गए एक्सटेंशन को इस लेखन के समय अतिरिक्त सुरक्षा जांच के माध्यम से नहीं रखा जाता है। ब्राउज़र सिंकजैकिंग हमले को तीन भागों में विभाजित किया जा सकता है: कैसे एक्सटेंशन चुपचाप हमलावर द्वारा प्रबंधित प्रोफ़ाइल को जोड़ता है, ब्राउज़र को हाईजैक करता है और अंततः डिवाइस पर पूर्ण नियंत्रण प्राप्त कर लेता है। प्रोफ़ाइल अपहरण यह हमला किसी कर्मचारी द्वारा किसी भी ब्राउज़र एक्सटेंशन को इंस्टॉल करने से शुरू होता है - इसमें किसी एक्सटेंशन को AI टूल के रूप में प्रकाशित करना या मौजूदा लोकप्रिय एक्सटेंशन पर कब्जा करना शामिल हो सकता है, जिनके कुल इंस्टॉलेशन लाखों तक हो सकते हैं। फिर एक्सटेंशन "चुपचाप" पीड़ित को हमलावर के Google Workspace द्वारा प्रबंधित Chrome प्रोफ़ाइल में प्रमाणित करता है। यह सब बैकग्राउंड विंडो में स्वचालित तरीके से किया जाता है, जिससे पूरी प्रक्रिया पीड़ित के लिए लगभग अदृश्य हो जाती है। एक बार प्रमाणीकरण हो जाने पर, हमलावर को पीड़ित के ब्राउज़र में नव प्रबंधित प्रोफ़ाइल पर पूर्ण नियंत्रण मिल जाता है, जिससे वह सुरक्षित ब्राउज़िंग और अन्य सुरक्षा सुविधाओं को अक्षम करने जैसी स्वचालित नीतियों को लागू कर सकता है। विश्वसनीय डोमेन का शोषण करने वाले एक बहुत ही चतुर सोशल इंजीनियरिंग हमले का उपयोग करके, विरोधी फिर पीड़ित के ब्राउज़र से पासवर्ड चुराने के लिए प्रोफ़ाइल अपहरण हमले को आगे बढ़ा सकता है। उदाहरण के लिए, दुर्भावनापूर्ण एक्सटेंशन उपयोगकर्ता खातों को सिंक करने के तरीके पर Google के आधिकारिक सहायता पृष्ठ को खोल और संशोधित कर सकता है ताकि पीड़ित को केवल कुछ क्लिक के साथ सिंक करने के लिए प्रेरित किया जा सके। एक बार प्रोफ़ाइल सिंक हो जाने के बाद, हमलावरों को स्थानीय रूप से संग्रहीत सभी क्रेडेंशियल और ब्राउज़िंग इतिहास तक पूरी पहुँच मिल जाती है। चूंकि यह हमला केवल वैध साइटों का लाभ उठाता है और इसका कोई स्पष्ट संकेत नहीं है कि इसे एक्सटेंशन द्वारा संशोधित किया गया है, इसलिए यह नेटवर्क ट्रैफ़िक की निगरानी करने वाले किसी भी सुरक्षा समाधान में कोई अलार्म घंटी नहीं बजाएगा। ब्राउज़र अधिग्रहण ब्राउज़र पर पूर्ण नियंत्रण प्राप्त करने के लिए, हमलावर को अनिवार्य रूप से पीड़ित के क्रोम ब्राउज़र को प्रबंधित ब्राउज़र में परिवर्तित करना होगा। यही एक्सटेंशन वैध डाउनलोड, जैसे कि ज़ूम अपडेट, की निगरानी करता है और उसे रोकता है, तथा उसे हमलावर के निष्पादनयोग्य फ़ाइल से प्रतिस्थापित कर देता है, जिसमें एक नामांकन टोकन और रजिस्ट्री प्रविष्टि होती है, जो पीड़ित के क्रोम ब्राउज़र को एक प्रबंधित ब्राउज़र में बदल देती है। यह सोचकर कि उन्होंने ज़ूम अपडेटर डाउनलोड किया है, पीड़ित फ़ाइल को निष्पादित करता है, जो एक रजिस्ट्री प्रविष्टि स्थापित करता है जो ब्राउज़र को हमलावर के Google वर्कस्पेस द्वारा प्रबंधित होने का निर्देश देता है। इससे हमलावर को पीड़ित के ब्राउज़र पर पूरा नियंत्रण प्राप्त करने, सुरक्षा सुविधाओं को अक्षम करने, अतिरिक्त दुर्भावनापूर्ण एक्सटेंशन इंस्टॉल करने, डेटा निकालने और यहां तक कि चुपचाप उपयोगकर्ताओं को फ़िशिंग साइटों पर पुनर्निर्देशित करने की अनुमति मिलती है। यह हमला बेहद शक्तिशाली है क्योंकि प्रबंधित और अप्रबंधित ब्राउज़र के बीच कोई दृश्य अंतर नहीं है। एक सामान्य उपयोगकर्ता के लिए, इस बात का कोई स्पष्ट संकेत नहीं है कि विशेषाधिकार में वृद्धि हुई है, जब तक कि पीड़ित अत्यधिक सुरक्षा के प्रति जागरूक न हो और नियमित रूप से अपने ब्राउज़र सेटिंग्स का निरीक्षण करने और किसी अपरिचित Google Workspace खाते के साथ संबंधों की तलाश न करे। डिवाइस अपहरण ऊपर दी गई उसी डाउनलोड की गई फ़ाइल के साथ, हमलावर दुर्भावनापूर्ण एक्सटेंशन के लिए आवश्यक रजिस्ट्री प्रविष्टियाँ भी डाल सकता है, ताकि वह मूल ऐप्स को संदेश भेज सके। यह एक्सटेंशन को बिना किसी अतिरिक्त प्रमाणीकरण के स्थानीय ऐप्स के साथ सीधे इंटरैक्ट करने की अनुमति देता है। एक बार कनेक्शन स्थापित हो जाने पर, हमलावर स्थानीय शेल और अन्य उपलब्ध मूल अनुप्रयोगों के साथ संयोजन में एक्सटेंशन का उपयोग कर सकते हैं, ताकि डिवाइस का कैमरा गुप्त रूप से चालू किया जा सके, ऑडियो कैप्चर किया जा सके, स्क्रीन रिकॉर्ड की जा सके और दुर्भावनापूर्ण सॉफ़्टवेयर इंस्टॉल किया जा सके - जिससे उन्हें डिवाइस पर सभी अनुप्रयोगों और गोपनीय डेटा तक पूर्ण पहुंच मिल सके। ब्राउज़र सिंकजैकिंग हमला रिमोट-मैनेज्ड प्रोफाइल और ब्राउज़र को मैनेज करने के तरीके में एक बुनियादी दोष को उजागर करता है। आज, कोई भी व्यक्ति किसी भी तरह के पहचान सत्यापन के बिना किसी नए डोमेन और ब्राउज़र एक्सटेंशन से जुड़ा एक मैनेज्ड वर्कस्पेस अकाउंट बना सकता है, जिससे इन हमलों को जिम्मेदार ठहराना असंभव हो जाता है। दुर्भाग्यवश, अधिकांश उद्यमों को वर्तमान में ब्राउज़र के बारे में कोई जानकारी नहीं है - अधिकांश के पास प्रबंधित ब्राउज़र या प्रोफाइल नहीं हैं, न ही कर्मचारियों द्वारा ट्रेंडिंग टूल और सोशल मीडिया अनुशंसाओं के आधार पर अक्सर इंस्टॉल किए जाने वाले एक्सटेंशन के बारे में कोई जानकारी है। इस हमले को विशेष रूप से खतरनाक बनाने वाली बात यह है कि यह न्यूनतम अनुमतियों के साथ संचालित होता है और इसमें लगभग कोई उपयोगकर्ता सहभागिता नहीं होती है, तथा इसके लिए केवल विश्वसनीय वेबसाइटों का उपयोग करते हुए सूक्ष्म सामाजिक इंजीनियरिंग चरण की आवश्यकता होती है - जिससे कर्मचारियों के लिए इसका पता लगाना लगभग असंभव हो जाता है। जबकि साइबरहेवन ब्रीच जैसी हालिया घटनाओं ने सैकड़ों, यदि हजारों नहीं, संगठनों को पहले ही खतरे में डाल दिया है, उन हमलों को संचालित करने के लिए अपेक्षाकृत जटिल सामाजिक इंजीनियरिंग की आवश्यकता थी। इस हमले की विनाशकारी सूक्ष्म प्रकृति - उपयोगकर्ता सहभागिता की अत्यंत कम सीमा के साथ - न केवल इस हमले को अत्यंत शक्तिशाली बनाती है, बल्कि इस भयावह संभावना पर भी प्रकाश डालती है कि विरोधी आज उद्यमों को खतरे में डालने के लिए पहले से ही इस तकनीक का उपयोग कर रहे हैं। जब तक कोई संगठन प्रबंधित ब्राउज़रों के माध्यम से ब्राउज़र एक्सटेंशन को पूरी तरह से ब्लॉक करने का विकल्प नहीं चुनता, तब तक ब्राउज़र सिंकजैकिंग हमला मौजूदा ब्लैकलिस्ट और अनुमति-आधारित नीतियों को पूरी तरह से बायपास कर देगा। स्क्वेयरएक्स के संस्थापक कहते हैं, “यह शोध उद्यम सुरक्षा में एक महत्वपूर्ण अंधे स्थान को उजागर करता है। पारंपरिक सुरक्षा उपकरण इन परिष्कृत ब्राउज़र-आधारित हमलों को आसानी से नहीं देख या रोक सकते हैं। इस खोज को विशेष रूप से खतरनाक बनाता है कि यह कैसे प्रतीत होता है कि निर्दोष ब्राउज़र एक्सटेंशन को पूर्ण डिवाइस टेकओवर टूल में बदल देता है, जबकि यह सब EDRs और SASE/SSE सिक्योर वेब गेटवे जैसे पारंपरिक सुरक्षा उपायों के रडार के नीचे उड़ रहा है। ब्राउज़र डिटेक्शन-रिस्पॉन्स समाधान अब केवल एक विकल्प नहीं है - यह एक आवश्यकता है। ब्राउज़र स्तर पर दृश्यता और नियंत्रण के बिना, संगठन अनिवार्य रूप से हमलावरों के लिए अपने सामने के दरवाजे को खुला छोड़ रहे हैं। यह हमला तकनीक दर्शाती है कि सुरक्षा को 'स्थानांतरित' करने की आवश्यकता क्यों है जहां खतरे वास्तव में हो रहे हैं: ब्राउज़र में ही।” विवेक रामचंद्रन स्क्वायरएक्स ब्राउज़र एक्सटेंशन पर अग्रणी सुरक्षा अनुसंधान कर रहा है, जिसमें DEF CON 32 वार्ता भी शामिल है जिससे कई MV3 अनुरूप दुर्भावनापूर्ण एक्सटेंशन का पता चला। स्नीकी एक्सटेंशन: एमवी3 एस्केप आर्टिस्ट यह शोध दल सबसे पहले खोज करने और खुलासा करने वाला भी था एक सप्ताह पहले .स्क्वायरएक्स भी की खोज के लिए जिम्मेदार था हमले, क्लाइंट-साइड हमलों का एक नया वर्ग है जो वास्तुशिल्प दोषों का फायदा उठाता है और सभी सुरक्षित वेब गेटवे समाधानों को पूरी तरह से बायपास करता है। क्रोम एक्सटेंशन डेवलपर्स पर OAuth हमला साइबरहेवन उल्लंघन अंतिम मील पुनः संयोजन इस शोध के आधार पर, स्क्वायरएक्स का उद्योग-प्रथम ब्राउज़र डिटेक्शन और रिस्पांस समाधान, रनटाइम पर सभी ब्राउज़र एक्सटेंशन गतिविधि पर गतिशील विश्लेषण करके, पूरे उद्यम में सभी सक्रिय एक्सटेंशन को जोखिम स्कोर प्रदान करके और किसी भी ऐसे हमले की पहचान करके, जिससे वे असुरक्षित हो सकते हैं, डिवाइस अपहरण प्रयासों सहित उन्नत एक्सटेंशन-आधारित हमलों के खिलाफ उद्यमों की रक्षा करता है। ब्राउज़र सिंकजैकिंग हमले के बारे में अधिक जानकारी के लिए, इस शोध के अतिरिक्त निष्कर्ष यहां उपलब्ध हैं . sqrx.com/रिसर्च स्क्वेयरएक्स के बारे में संगठनों को वास्तविक समय में अपने उपयोगकर्ताओं के विरुद्ध होने वाले क्लाइंट-साइड वेब हमलों का पता लगाने, उन्हें कम करने और खतरे का पता लगाने में मदद करता है। स्क्वायरएक्स स्क्वायरएक्स का उद्योग-प्रथम ब्राउज़र डिटेक्शन और रिस्पॉन्स (बीडीआर) समाधान, ब्राउज़र सुरक्षा के लिए आक्रमण-केंद्रित दृष्टिकोण अपनाता है, जिससे यह सुनिश्चित होता है कि एंटरप्राइज़ उपयोगकर्ताओं को दुर्भावनापूर्ण क्यूआर कोड, ब्राउज़र-इन-द-ब्राउज़र फ़िशिंग, मैक्रो-आधारित मैलवेयर और दुर्भावनापूर्ण फ़ाइलों, वेबसाइटों, स्क्रिप्ट और समझौता किए गए नेटवर्कों को शामिल करने वाले अन्य वेब हमलों जैसे उन्नत खतरों से सुरक्षा मिलती है। इसके अतिरिक्त, स्क्वायरएक्स के साथ, उद्यम ठेकेदारों और दूरस्थ श्रमिकों को आंतरिक अनुप्रयोगों, उद्यम SaaS तक सुरक्षित पहुंच प्रदान कर सकते हैं, और BYOD / अप्रबंधित उपकरणों पर ब्राउज़रों को विश्वसनीय ब्राउज़िंग सत्रों में परिवर्तित कर सकते हैं। संपर्क पीआर प्रमुख जूनिस लियु स्क्वायरएक्स junice@sqrx.com यह कहानी हैकरनून के बिजनेस ब्लॉगिंग प्रोग्राम के तहत साइबरन्यूजवायर द्वारा एक रिलीज के रूप में वितरित की गई थी। कार्यक्रम के बारे में अधिक जानें यहाँ
