பகுப்பாய்வு நிறுவனமான ஐசிஇபிஆர்ஜி மூலம் கூகுள் கிரோம் விரிவாக்கம் ஆராயப்பட்டு, சேன்ஞ் ஹெச்டிடிபி ரிக்வஸ்ட் ஹெடர், லைட் புக்மார்க், ஸ்டிக்கீஸ் மற்றும் நியூகுள் ஆகியவற்றை மாற்ற வேண்டியவை என்று தெரியவந்துள்ளது.
இந்த மாத துவக்கத்தில், ஆர்ச்சீவ் போஸ்டர் என்ற ஒரு பிரபலமான கூகுள் கிரோம் விரிவாக்கம் தவறாக செயல்பட்டு, இன்-பிரவுஸர் கிரிப்டோகரன்ஸி திருட்டில் ஈடுபடுவதாக செய்தி வெளியிட்டு இருந்தோம்.
அதன் தொடர்ச்சியாக, தற்போது கூகுள் கிரோம் பிரவுஸரில் மேலும் 4 தீங்கிழைக்கக்கூடிய விரிவாக்கங்கள் இருப்பதாக பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். இந்த விரிவாக்கங்கள் இதுவரை ஏறக்குறைய அரை மில்லியன் பயனர்களைக் கொண்டுள்ளதாகத் தெரியவந்துள்ளது.
இந்த விரிவாக்கங்களைப் பகுப்பாய்வு நிறுவனமான ஐசிஇபிஆர்ஜி ஆராய்ந்து, சேன்ஞ் ஹெச்டிடிபி ரிக்வஸ்ட் ஹெடர், லைட் புக்மார்க், ஸ்டிக்கீஸ் மற்றும் நியூகுள் ஆகியவற்றை மாற்ற வேண்டும் என கண்டுபிடித்துள்ளது. ஐசிஇபிஆர்ஜி கூறுகையில், வருவாயை உருவாக்கும் நோக்கில் மேற்கூறிய இந்த நான்கும் ஒரு கிளிக்-மோசடியில் ஈடுபட்டு வருவதாகத் தெரிகிறது என்று கூறியுள்ளது.
இது குறித்து கூகுள் மற்றும் பிற பங்குத்தாரர்களிடம் ஐசிஇபிஆர்ஜி தெரிவித்துள்ளது. இதையடுத்து, சேன்ஞ் ஹெச்டிடிபி ரிக்வஸ்ட் ஹெடர், லைட் புக்மார்க் மற்றும் ஸ்டிக்கீஸ் ஆகியவை கிரோம் வெப் ஸ்டோரில் இருந்து நீக்கப்பட்டது. ஆனால் நியூகுள் இன்னும் பதிவிறக்கம் செய்ய முடிகிறது என்றாலும், இந்த காரியத்தைக் குறித்து கூகுள் தரப்பில் ஒரு அறிக்கை வெளியிடப்பட வேண்டியுள்ளது.
சர்வதேச அளவிலான புள்ளிவிவரத்தின்படி, பயன்பாட்டை வைத்து பார்க்கும் போது கூகுள் கிரோம் மிகவும் பிரபலமான சர்வதேச வெப் பிரவுஸர் ஆகும். இதன் விளைவாக, சைபர் மோசடிகளைச் செய்பவர்களின் விருப்பமான தேர்வாக இந்த பிரவுஸர் அமைந்துள்ளது. தற்பெருமையான பாதுகாப்பு அம்சங்களுக்கு இந்த பிரவுஸர் பெயர்பெற்றது.
அதிலும் குறிப்பாக, அதன் பாதுகாப்பு சாண்டுபாக்ஸ் மற்றும் விரைவான பயன்பாட்டு பாதிப்புகளை நீக்குதல் போன்றவை இருக்கின்றன. இதனால் கூகுள் அமைத்துள்ள பாதுகாப்பு வளையத்தில் பிளவை ஏற்படுத்தும் ஒரு சமார்த்தியமான வழியைக் கண்டுபிடிப்பதில், சைபர்கிரிமினல்கள் எப்போதும் முயற்சி செய்து வருவதாகத் தெரிகிறது.
ஏர்டெல் ரூ.149/-ல் அதிரடி திருத்தம்; இதர பட்ஜெட் திட்டங்களுக்கு நெருக்கடி.!
கிரோம் வெப் ஸ்டோரில் உள்ள ஓட்டைகளைக் கண்டறியும் இந்த சைபர் குற்றவாளிகள், வெப் பிரவுஸரில் செயல்படுத்தப்பட்டுள்ள கூகுளின் பாதுகாப்பு நெறிமுறைகளை ஊடுருவி விடுகின்றனர். இவர்களின் தற்போதைய முக்கிய ஆயுதமாக, பிரவுஸர் விரிவாக்கம் மாறியுள்ளது.
ஐசிஇபிஆர்ஜி-யைப் பொறுத்த வரை, இந்த தந்திரத்தைப் பயன்படுத்தினால் அதிக பலன் கிடைக்கிறது. இதனால் மால்வேர்களை உருவாக்குபவர்கள் இந்த அமைப்பை நன்றாக பயன்படுத்தி கொள்கிறார்கள். இதன்படி, கிரோம் வெப் ஸ்டோரில் உள்ள பிரவுஸர் விரிவாக்கத்தின் பயன்பாட்டின் அதிகாரத்தைக் கொண்ட வலுவான பாதுகாப்பு இருந்தாலும் அவர்களுக்கு எந்த கவலையும் ஏற்படுவதில்லை என்று தோன்றுகிறது.
இது குறித்து அந்த பாதுகாப்பு நிறுவனம் வெளியிட்டுள்ள விரிவான அறிக்கையில், "இந்நிலையில் மூன்றாம் தரப்பு கூகுள் விரிவாக்கங்களுக்கு உள்ளார்ந்த நம்பிக்கைப் பெற முடிவதோடு, இந்த விரிவாக்கங்களின் மூலம் பயனர் மீதான அனுமதிக்கப்பட்ட ஆளுகை கிடைப்பதால், ஒரு மதிப்பு மிகுந்த மோசடி கும்பலின் வெற்றிக்கு இது வித்திடுவதாக அமைகிறது. ஒரு அதிநவீன விஷமியின் கைகளில் இது கிடைத்தால், அதே ஆயுதம் மற்றும் நுட்பத்தைப் பயன்படுத்தி, குறிப்பிட்ட இணைப்புகளை இலக்காக வைத்து செயல்படும் தளமாக மாற்றலாம்" என்று தெரிவித்துள்ளது.
அதே நேரத்தில், மேற்கண்ட இந்த அபாயம் சராசரி வாடிக்கையாளர் மற்றும் நிறுவன பயனர்கள் என்று இரு பிரிவினருக்கும் உண்மையில் பாதிப்புகளை ஏற்படுத்துவதற்கு அதிக வாய்ப்புகள் உள்ளது என்று அந்த பாதுகாப்பு நிறுவனம் எச்சரித்துள்ளது. அந்த அறிக்கையின்படி, இதுவரை சுமார் 500,000 கிரோம் பயனர்களின் சிஸ்டத்தை அந்த விரிவாக்கங்கள் அடைந்துள்ளன என்கிறது.
மேலும், இந்த தீங்கிழைக்கும் விரிவாக்கம் எப்படி செயல்படுகிறது என்பதை குறித்த ஒரு சுருக்க விளக்கத்தை, பாதுகாப்பு நிறுவனம் வெளியிட்டுள்ளது. இது குறித்து ஐசிஇபிஆர்ஜி கூறுகையில், "வடிவமைப்பின்படி, கிரோமின் ஜாவாஸ்கிரிட் கோடில் ஜெஎஸ்ஓஎன் இருக்கிறதா என்பதை ஜாவாஸ்கிரிட் என்ஜின் மதிப்பிடுகிறது (செயல்படுத்துகிறது).
பாதுகாப்பை கருத்தில் கொண்டு, அதன் பயனை உள்ளடக்க பாதுகாப்பு கொள்கை (சிஎஸ்பி) மூலம் வெளிப்படையாக அளிக்க வேண்டிய விரிவாக்கங்களின் வழியாக ஒரு வெளிப்புற ஆதாரங்களில் இருந்து வரும் ஜெஎஸ்ஓஎன் மீட்டெடுப்பு திறனை கிரோம் தடுக்கிறது.
"இது போன்ற செயல்களைச் செய்ய ஒரு பாதுகாப்பற்ற மதிப்பீட்டு அனுமதியை ஒரு விரிவாக்கம் செயல்படுத்தினால், அது மீட்டெடுத்து கொண்டு ஒரு வெளிப்புறத்தில் கட்டுபடுத்தப்படும் சர்வரில் இருந்து ஜெஎஸ்ஓஎன் செயல்படும். இதன்மூலம் விரிவாக்கம் எழுத்தாளர், தன்னிச்சையான ஜாவாஸ்கிரிப்ட் கோடு அளித்து எப்போது அதை செயல்படுத்தினால், சர்வர் புதுப்பிப்பிற்கு ஒரு கோரிக்கையைப் பெறும்" என்று தெரிவிக்கப்பட்டுள்ளது.
இந்த சம்பவத்தைத் தொடர்ந்து, பிரவுஸர் விரிவாக்கங்களில் அதுவும் குறிப்பாக மூன்றாம் தரப்பினர் அளிப்பவைகளில் இருந்து கூகுள் கிரோம் பயனர்கள் சற்று விலகி இருப்பது நல்லது.
