Google ने इस हफ़्ते एक बड़ा सिक्योरिटी विवाद खड़ा कर दिया, जब उसने पैच रिलीज़ करने से पहले गलती से Chromium ब्राउज़र इंजन में एक गंभीर वल्नरबिलिटी के लिए प्रूफ़-ऑफ़-कॉन्सेप्ट एक्सप्लॉइट कोड पब्लिश कर दिया. चूंकि यह समस्या Chromium पर बने लगभग हर बड़े ब्राउज़र पर असर डालती है, जिसमें Google Chrome, Microsoft Edge, Brave, Opera, Arc, और दूसरे शामिल हैं, इसने दुनिया भर में लाखों यूज़र्स को एक्सपोज़ कर दिया होगा.
इस बग के बारे में सबसे पहले 2022 के आखिर में Google को बताया गया था, लेकिन 29 महीने तक यह ठीक नहीं हुआ. आम तौर पर, कंपनियां किसी कमी की जानकारी तभी पब्लिश करती हैं, जब उसे ठीक कर दिया जाता है और यूज़र्स को अपडेट दे दिया जाता है.
लेकिन, Google के बग ट्रैकर ने अचानक पैच जारी करने से पहले टेक्निकल जानकारी और एक्सप्लॉइट कोड दोनों जारी कर दिए. हालांकि बाद में रिपोर्ट हटा दी गई, लेकिन आर्काइव्ड वर्जन अभी भी पब्लिकली एक्सेस किए जा सकते हैं, जिसकी सिक्योरिटी रिसर्चर्स ने कड़ी आलोचना की है.
यह कमी ब्राउज़र फ़ेच API पर असर डालती है, जो क्रोमियम में बना एक बैकग्राउंड डाउनलोडिंग फ़ीचर है. यह फ़ीचर वेबसाइट और वेब एप्लिकेशन को वेबपेज बंद होने के बाद भी बड़ी फ़ाइलें डाउनलोड करने देता है.
यह कमज़ोरी गलत इरादे वाली वेबसाइटों को, खराब इरादे वाली JavaScript का इस्तेमाल करके एक लगातार सर्विस वर्कर खोलकर, यूज़र्स के ब्राउज़र से छिपे हुए कनेक्शन बनाए रखने की इजाज़त दे सकती है. इससे लंबे समय तक चलने वाले ब्राउज़र कनेक्शन बन सकते हैं, जो रीस्टार्ट होने पर भी टिके रह सकते हैं और कुछ मामलों में, डिवाइस रीबूट होने पर भी.
हालांकि इस बग ने अटैकर्स को पूरा सिस्टम एक्सेस नहीं दिया या फ़ाइलों या पासवर्ड की सीधी चोरी को मुमकिन नहीं बनाया, लेकिन इसने असरदार तरीके से पीड़ितों के सिस्टम को बॉटनेट एक्टिविटी, एनॉनिमस प्रॉक्सीइंग, मॉनिटरिंग और डिस्ट्रिब्यूटेड डिनायल-ऑफ़-सर्विस (DDoS) अटैक के लिए टूल में बदल दिया.
साइबर सिक्योरिटी रिसर्चर्स का कहना है कि यही बात इस वल्नरेबिलिटी को खास तौर पर परेशान करने वाली बनाती है, क्योंकि यह पारंपरिक सिक्योरिटी डिफेंस को ट्रिगर किए बिना ब्राउज़र-लेवल पर पकड़ बना लेती है.
क्योंकि यह एक्सप्लॉइट सिर्फ़ किसी खराब वेबसाइट पर जाकर शुरू हो सकता है, इसलिए अटैकर कम से कम यूज़र इंटरैक्शन के साथ बड़ी संख्या में डिवाइस को नुकसान पहुंचा सकते हैं. पुराने मैलवेयर के उलट, शिकार लोगों को सॉफ़्टवेयर इंस्टॉल करने या फ़ाइलें डाउनलोड करने की ज़रूरत नहीं होती, क्योंकि यह अटैक पूरी तरह से ब्राउज़र के परसिस्टेंस पर निर्भर करता है.
मैलवेयर व्यवहार के कोई संकेत नहीं (फोटो – ETV Bharat)
अगर इसे रिमोट कोड एग्ज़िक्यूशन में कमी के साथ मिला दिया जाए, तो यह एक्सप्लॉइट और भी खतरनाक हो सकता है. इस एक्सप्लॉइट का पता लगाना मुश्किल है, क्योंकि इसका बिहेवियर अलग-अलग ब्राउज़र में अलग-अलग होता है और यह सिर्फ़ हल्के, आसानी से नज़रअंदाज़ होने वाले संकेत देता है.
Microsoft Edge पर, यूज़र्स को थोड़ी देर के लिए एक डाउनलोड ड्रॉपडाउन दिख सकता है, जो तुरंत गायब हो जाता है, जबकि Chrome पर, नोटिफ़िकेशन ज़्यादा लगातार रहता है, लेकिन अक्सर इसे एक नुकसान न पहुंचाने वाली गड़बड़ी समझकर नज़रअंदाज़ कर दिया जाता है. कम अनुभवी यूज़र्स शायद ही इन्हें कॉम्प्रोमाइज़ के संकेत के तौर पर पहचान पाएं.
पुराने मैलवेयर के उलट, इस एक्सप्लॉइट में कोई सस्पिशियस एक्ज़ीक्यूटेबल, प्रिविलेज एस्केलेशन, एंटीवायरस सिग्नेचर या इंस्टॉलेशन प्रोसेस शामिल नहीं होता है, जिससे स्टैंडर्ड एंडपॉइंट सिक्योरिटी टूल्स के लिए इसे पहचानना खास तौर पर मुश्किल हो जाता है.
