उपयोगकर्ता की browsing data एकत्र करने वाले 287 Chrome extensions मिले

 (qcontinuum.substack.com)
4 पॉइंट द्वारा GN⁺ 2026-02-12 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • एक automated MITM (man-in-the-middle attack) आधारित scanning pipeline के जरिए 287 Chrome extensions का पता चला जो उपयोगकर्ताओं की browsing history को बाहरी सर्वरों पर भेजते हैं
  • इन extensions की कुल लगभग 3.74 करोड़ installations हैं, जो दुनिया भर के Chrome उपयोगकर्ताओं के लगभग 1% के बराबर है
  • data leak गतिविधियों में Similarweb, Curly Doggo, Offidocs, Big Star Labs जैसे प्रमुख data brokers और कई छोटे ऑपरेटर शामिल हैं
  • विश्लेषण में पाया गया कि कुछ extensions ROT47, AES‑256, LZ‑string जैसी encryption techniques का उपयोग करके URL data को छिपाकर भेजते हैं
  • यह सिर्फ privacy violation नहीं, बल्कि कंपनी के internal network और admin console URL के उजागर होने जैसे security risks तक ले जाने वाला गंभीर खतरा है

automated scan pipeline का निर्माण

  • शोध टीम ने Docker environment में चलने वाले Chrome browser को MITM proxy से घेरकर, URL की लंबाई के अनुसार outbound traffic correlation मापने वाली एक automated system बनाई
    • यदि URL लंबाई के अनुपात में transmission volume बढ़ता है, तो यह माना गया कि extension URL को बाहर भेज रहा है
  • scan दो चरणों में किया गया और इसमें कुल 930 CPU-days लगे
    • पहले चरण में 4 URL lengths का परीक्षण किया गया, और यदि suspicious ratio (0.1 ≤ R < 1.0) मिला तो 6 अतिरिक्त lengths के साथ दोबारा सत्यापन किया गया

data leak detection और analysis

  • 287 extensions के बारे में पुष्टि हुई कि वे browsing history को बाहरी सर्वरों पर भेजते हैं
  • इन extensions की कुल installations लगभग 3.74 करोड़ हैं, जो वैश्विक Chrome user base के करीब 1% के बराबर है
  • leaked data Similarweb, Curly Doggo, Offidocs, Big Star Labs आदि तक भेजा जाता है, और कुछ मामलों में Kontera scraper के जरिए दोबारा इकट्ठा किया जाता है
  • Honeypot server चलाकर वास्तविक data collection IPs को ट्रैक करने पर HashDit, Blocksi AI Web Filter, Kontera सहित 5 प्रमुख IP ranges बार-बार access करते पाए गए

प्रमुख actors और connections

  • OSINT analysis के जरिए हर extension के developer email, privacy policy, certificate information आदि की जांच की गई
  • यह पुष्टि हुई कि Similarweb का “Similar Sites” extension Kontera scraper, Curly Doggo और Offidocs से जुड़ा हुआ है
  • Big Star Labs में Similarweb जैसे ही code patterns मिले, जिससे दोनों के एक ही संगठन से जुड़े होने की संभावना मजबूत होती है

प्रमुख leak cases

  • Poper Blocker: ROT47 से URL को obfuscate करके api2.poperblocker.com पर भेजता है
  • Stylish: AES‑256 और RSA public-key encryption का उपयोग करके URL को encrypt कर userstylesapi.com पर भेजता है
  • BlockSite और Video Ad Blocker Plus: LZ‑string UTF16 compression का उपयोग कर URL भेजते हैं, और समान data schema इस्तेमाल करते हैं
  • Similarweb: rank.similarweb.com पर multi-URL-encoded browsing data भेजता है
  • WOT (Web of Trust): XOR-आधारित custom encoding से URL को encrypt करता है, और इसकी संरचना Similarweb जैसी है
  • Smarty, CrxMouse, ApkOnline, Knowee AI, Super PiP आदि भी URL parameters, headers, Google Analytics API आदि के जरिए data भेजते हैं

खतरे का पैमाना और प्रभाव

  • लगभग 3.74 करोड़ उपयोगकर्ता, यानी पोलैंड की आबादी के बराबर संख्या, इससे प्रभावित हुई
  • कुछ extensions को अपनी functionality के लिए browsing history access की आवश्यकता हो सकती है, लेकिन कई extensions स्पष्ट सहमति के बिना data collect करते हैं
  • leaked data का दुरुपयोग ad targeting, corporate espionage, session hijacking आदि में हो सकता है
    • खासकर enterprise environments में “productivity improvement” extensions का उपयोग करने वाले कर्मचारियों के लिए internal URL exposure का जोखिम मौजूद है

निष्कर्ष और चेतावनी

  • विश्लेषित extensions में से कई जानबूझकर encryption और concealment techniques का उपयोग करके detection से बचते पाए गए
  • इससे संकेत मिलता है कि यह कोई साधारण bug नहीं, बल्कि data collection पर आधारित business model है
  • यह याद रखना चाहिए कि software मुफ्त हो सकता है, लेकिन अगर वह open source नहीं है तो उपयोगकर्ता खुद ‘product’ बन सकता है
  • Chrome extension install करते समय permissions की समीक्षा और source की पुष्टि करना अनिवार्य है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-02-12
Hacker News की राय

  • लगभग 15 साल पहले मैंने एक Chrome extension बनाया था जो सिर्फ एक खास काम करता था, और वह काफ़ी लोकप्रिय हुआ था
    उसे कुछ हज़ार डॉलर में बेच दिया और फिर भूल गया, लेकिन अब देखता हूँ कि वैध extensions को खरीदकर user data से पैसा कमाने का यह पैटर्न काफ़ी साफ़ दिखता है
    ऐसे कई मामले मैंने खुद देखे हैं

    • मैं 10 साल से ज़्यादा समय से एक लोकप्रिय cross-browser extension मेंटेन कर रहा हूँ, और monetization के ऑफ़र लगातार आते रहते हैं
      इससे जुड़ी चर्चा GitHub discussion में संकलित है
    • यह एक विशिष्ट supply-chain attack है
      यह वैसा ही है जैसे gamer high-level character बेचते हैं, या SNS accounts का मालिक बदल जाता है
      अब security की नई front line browser extensions, cloud integrations, और app permissions जैसे क्षेत्रों में है
      अगर आप किसी भी app को Gmail या Google Drive का पूरा access दे देते हैं, तो आप ransomware के लिए exposed हो सकते हैं
      local OS पर कोई निशान भी नहीं बचेगा, और virus scanner भी इसे पकड़ नहीं पाएगा
      security review process इतना झंझटभरा है कि access एक-एक करके हटाना बहुत मुश्किल काम बन जाता है
      इससे बेहतर तरीका चाहिए
    • 15 साल पहले शायद ऐसे सौदे बस शुरू ही हो रहे थे
      extension की बिक्री को पूरी तरह रोका नहीं जा सकता, लेकिन Chrome Web Store की verification process को मज़बूत करना चाहिए
    • भले ही seller की बुरी मंशा न हो, फिर भी बिक्री के बाद पैदा हुई समस्याओं के लिए कुछ कानूनी ज़िम्मेदारी होनी चाहिए
      लेकिन ऐसी ज़िम्मेदारी किसी व्यक्ति पर नहीं, बल्कि store operator द्वारा मैनेज की जानी चाहिए

  • मैंने यह भी लिखा है कि जब कोई भरोसेमंद extension malicious बन जाए तो खुद को कैसे बचाया जाए

    • Extensions Update Notifier से updates मॉनिटर करें और ownership change हुआ है या नहीं, यह देखें
    • Brave browser में brave://flags/#brave-extension-network-blocking फीचर से traffic filtering rules सीधे सेट किए जा सकते हैं
    • GitHub repository को clone करके Claude Code से security review करना, फिर खुद build करके manual update करना भी एक तरीका है
      • मुझे यह तरीका सचमुच अच्छा लगता है
        क्या extension codebase का deterministic audit करने वाले tools मौजूद हैं, यह जानने की जिज्ञासा है

  • मैं सिर्फ open source extensions ही इस्तेमाल करता हूँ
    uBlock Origin और SponsorBlock जैसे extensions, जिनका code public है और जिनके developer anonymous नहीं हैं, उन्हीं पर भरोसा करता हूँ
    Chrome Web Store असल में एक बिना नियमन वाला बाज़ार है, और Google सिर्फ कमाई करता है
    install करने से पहले code को खुद देख पाना, open source का न्यूनतम safety net है

    • किसी भरोसेमंद, non-anonymous developer का open source extension अच्छा संकेत है, लेकिन इससे यह गारंटी नहीं मिलती कि वितरित package और public code पूरी तरह एक जैसे हों
      pip, npm, rpm जैसे दूसरे open source distribution channels में भी यही समस्या है
    • तो फिर installed extension code और public code एकदम मेल खाते हैं या नहीं, इसे कैसे verify किया जाए, यह सवाल है
    • इसी वजह से यह अफ़सोस जताया गया कि Tampermonkey open source नहीं है
      इससे जुड़ी चर्चा GitHub discussion में है
    • हम सब कुछ खुद audit नहीं कर सकते, इसलिए किसी भरोसेमंद संस्था की verification system की ज़रूरत है
      “Google पर भरोसा मत करो” से ज़्यादा व्यावहारिक बात है “सिस्टम को बेहतर बनाओ”
    • automatic updates बंद करके version lock करना भी सुरक्षित है
      Chrome की तुलना में Firefox या Safari में ऐसी सेटिंग करना आसान है

  • ज़्यादातर extensions का code obfuscated होता है, लेकिन source code कोई भी देख सकता है
    तरीका इस लिंक में दिया गया है
    मैं भी लगभग 2,000 users वाला एक छोटा extension चलाता हूँ, और उसे malware में बदलने के लिए खरीदने के ऑफ़र अक्सर आते हैं
    उदाहरण है One Click Image Saver

  • मेरी प्राथमिक स्कूल में पढ़ने वाली बेटी स्कूल में Chromebook पर Google Classroom इस्तेमाल करती है, और extensions पर लगभग कोई रोक नहीं है
    हर login पर Chrome यह notification दिखाता है कि “malicious activity की वजह से extension हटा दिया गया”

    • हो सकता है मेरी बेटी को पता भी न हो कि कोई extension camera या search history चुरा रहा है
      इसलिए मुझे लगता है कि या तो सिर्फ open source extensions इस्तेमाल किए जाएँ, या उन्हें खुद बनाया जाए
      अगर काम सरल है, तो Tampermonkey से खुद script लिखना बेहतर है और code भी खुद review किया जा सकता है
      आजकल मैं भी ज़्यादातर extensions खुद बनाकर इस्तेमाल करता हूँ
      Tampermonkey में code बदलना और review करना आसान है, और AI tools से security check करना भी सरल है

  • मैं automatic updates को हर software में disable कर देता हूँ
    “अगर तुरंत update नहीं किया तो hack हो जाओगे” जैसी बात एक भ्रम है
    बल्कि मुझे लगता है कि update के बाद hack होने की संभावना और ज़्यादा होती है

    • आख़िरकार हालात ऐसे हैं कि update करो या न करो, जोखिम दोनों में है

  • जिन extensions पर भरोसा नहीं किया जा सकता, उनके कभी न कभी बेचे जाने और malware में बदल जाने की संभावना बहुत ज़्यादा है
    इसलिए मैं सिर्फ uBlock Origin install करता हूँ

    • मैं भी 100,000 से ज़्यादा users वाला एक extension चलाता हूँ, और खरीदने के सैकड़ों ईमेल आ चुके हैं
      वे सब उस public email address पर आते हैं जिसे Google ने अनिवार्य किया है
      काम की एक भी email नहीं आई
      इसलिए मैं भी सिर्फ uBlock Origin, Bitwarden, और अपने बनाए extensions पर भरोसा करता हूँ
      उदाहरण है Old Reddit Redirect
    • मैं भी सिर्फ uBlock Origin इस्तेमाल करता हूँ
      पहले Tree Style Tab इस्तेमाल करता था, लेकिन Firefox अब vertical tabs को built-in support देता है, इसलिए अब उसकी ज़रूरत नहीं रही
      नया extension install करना बहुत जोखिमभरा है
    • वैसे, uBlock Origin का मूल uBlock project एक समय किसी अविश्वसनीय व्यक्ति के हाथों चला गया था,
      जिसके बाद developer Raymond Hill ने उसे फिर से fork करके बनाया

  • कई extensions search query के "u": "https://www.google.com/search?q=target"; जैसे URL parameters इकट्ठा करते हैं
    इसका मतलब सिर्फ browsing history नहीं, बल्कि authentication tokens भी चोरी किए जा सकते हैं

    • अगर कोई service authentication token को URL parameter के रूप में भेजती है, तो उस service का इस्तेमाल ही नहीं करना चाहिए
      ऐसे tokens हमेशा exposed होते हैं

  • यह सवाल उठता है कि दुनिया की सबसे अमीर कंपनियों में से एक Google ने इस समस्या को खुद क्यों नहीं सुलझाया
    ad blockers को रोकने में तो वह इतना सक्रिय है, लेकिन इस मामले को यूँ ही छोड़ देता है

    • शायद Google को इस समस्या के बारे में पहले से पता था
      अगर ऐसा है, तो ज़्यादा अहम सवाल यह है कि “इसे सार्वजनिक क्यों नहीं किया गया?”

  • macOS पर install हुए सभी Chrome extension IDs की सूची निकालने का command साझा किया गया

    find "$HOME/Library/Application Support/Google/Chrome" \
  -type d -path "*/Extensions/*" -not -path "*/Extensions/*/*" \
  -print 2>/dev/null | sed 's#.*/Extensions/##' | sort -u

    नतीजे की तुलना malicious extensions list से की जा सकती है