- एक automated MITM (man-in-the-middle attack) आधारित scanning pipeline के जरिए 287 Chrome extensions का पता चला जो उपयोगकर्ताओं की browsing history को बाहरी सर्वरों पर भेजते हैं
- इन extensions की कुल लगभग 3.74 करोड़ installations हैं, जो दुनिया भर के Chrome उपयोगकर्ताओं के लगभग 1% के बराबर है
- data leak गतिविधियों में Similarweb, Curly Doggo, Offidocs, Big Star Labs जैसे प्रमुख data brokers और कई छोटे ऑपरेटर शामिल हैं
- विश्लेषण में पाया गया कि कुछ extensions ROT47, AES‑256, LZ‑string जैसी encryption techniques का उपयोग करके URL data को छिपाकर भेजते हैं
- यह सिर्फ privacy violation नहीं, बल्कि कंपनी के internal network और admin console URL के उजागर होने जैसे security risks तक ले जाने वाला गंभीर खतरा है
automated scan pipeline का निर्माण
- शोध टीम ने Docker environment में चलने वाले Chrome browser को MITM proxy से घेरकर, URL की लंबाई के अनुसार outbound traffic correlation मापने वाली एक automated system बनाई
- यदि URL लंबाई के अनुपात में transmission volume बढ़ता है, तो यह माना गया कि extension URL को बाहर भेज रहा है
- scan दो चरणों में किया गया और इसमें कुल 930 CPU-days लगे
- पहले चरण में 4 URL lengths का परीक्षण किया गया, और यदि suspicious ratio (
0.1 ≤ R < 1.0) मिला तो 6 अतिरिक्त lengths के साथ दोबारा सत्यापन किया गया
data leak detection और analysis
- 287 extensions के बारे में पुष्टि हुई कि वे browsing history को बाहरी सर्वरों पर भेजते हैं
- इन extensions की कुल installations लगभग 3.74 करोड़ हैं, जो वैश्विक Chrome user base के करीब 1% के बराबर है
- leaked data Similarweb, Curly Doggo, Offidocs, Big Star Labs आदि तक भेजा जाता है, और कुछ मामलों में Kontera scraper के जरिए दोबारा इकट्ठा किया जाता है
- Honeypot server चलाकर वास्तविक data collection IPs को ट्रैक करने पर HashDit, Blocksi AI Web Filter, Kontera सहित 5 प्रमुख IP ranges बार-बार access करते पाए गए
प्रमुख actors और connections
- OSINT analysis के जरिए हर extension के developer email, privacy policy, certificate information आदि की जांच की गई
- यह पुष्टि हुई कि Similarweb का “Similar Sites” extension Kontera scraper, Curly Doggo और Offidocs से जुड़ा हुआ है
- Big Star Labs में Similarweb जैसे ही code patterns मिले, जिससे दोनों के एक ही संगठन से जुड़े होने की संभावना मजबूत होती है
प्रमुख leak cases
- Poper Blocker: ROT47 से URL को obfuscate करके
api2.poperblocker.com पर भेजता है
- Stylish: AES‑256 और RSA public-key encryption का उपयोग करके URL को encrypt कर
userstylesapi.com पर भेजता है
- BlockSite और Video Ad Blocker Plus: LZ‑string UTF16 compression का उपयोग कर URL भेजते हैं, और समान data schema इस्तेमाल करते हैं
- Similarweb:
rank.similarweb.com पर multi-URL-encoded browsing data भेजता है
- WOT (Web of Trust): XOR-आधारित custom encoding से URL को encrypt करता है, और इसकी संरचना Similarweb जैसी है
- Smarty, CrxMouse, ApkOnline, Knowee AI, Super PiP आदि भी URL parameters, headers, Google Analytics API आदि के जरिए data भेजते हैं
खतरे का पैमाना और प्रभाव
- लगभग 3.74 करोड़ उपयोगकर्ता, यानी पोलैंड की आबादी के बराबर संख्या, इससे प्रभावित हुई
- कुछ extensions को अपनी functionality के लिए browsing history access की आवश्यकता हो सकती है, लेकिन कई extensions स्पष्ट सहमति के बिना data collect करते हैं
- leaked data का दुरुपयोग ad targeting, corporate espionage, session hijacking आदि में हो सकता है
- खासकर enterprise environments में “productivity improvement” extensions का उपयोग करने वाले कर्मचारियों के लिए internal URL exposure का जोखिम मौजूद है
निष्कर्ष और चेतावनी
- विश्लेषित extensions में से कई जानबूझकर encryption और concealment techniques का उपयोग करके detection से बचते पाए गए
- इससे संकेत मिलता है कि यह कोई साधारण bug नहीं, बल्कि data collection पर आधारित business model है
- यह याद रखना चाहिए कि software मुफ्त हो सकता है, लेकिन अगर वह open source नहीं है तो उपयोगकर्ता खुद ‘product’ बन सकता है
- Chrome extension install करते समय permissions की समीक्षा और source की पुष्टि करना अनिवार्य है
अभी कोई टिप्पणी नहीं है.