بیدار سیکیورٹی کمپنی شناخت کے بارے میں گوگل کروم کو، بیرونی سرورز کو صارف کا خفیہ ڈیٹا بھیجنا۔ ایڈ آنز کو اسکرین شاٹس لینے، کلپ بورڈ کے مواد کو پڑھنے، کوکیز میں رسائی ٹوکنز کی موجودگی کا تجزیہ کرنے اور ویب فارمز میں ان پٹ کو روکنے تک بھی رسائی حاصل تھی۔ مجموعی طور پر، شناخت شدہ نقصان دہ ایڈ آنز کروم ویب اسٹور میں کل 32.9 ملین ڈاؤن لوڈز تھے، اور سب سے زیادہ مقبول (سرچ مینیجر) کو 10 ملین بار ڈاؤن لوڈ کیا گیا اور اس میں 22 ہزار جائزے شامل ہیں۔
یہ فرض کیا جاتا ہے کہ تمام زیر غور اضافہ حملہ آوروں کی ایک ٹیم نے تیار کیا تھا، چونکہ مجموعی طور پر خفیہ ڈیٹا کی گرفتاری کے ساتھ ساتھ عام ڈیزائن عناصر اور بار بار کوڈ کو تقسیم کرنے اور ترتیب دینے کے لیے ایک عام اسکیم۔ کروم اسٹور کیٹلاگ میں بدنیتی پر مبنی کوڈ رکھا گیا تھا اور بدنیتی پر مبنی سرگرمی کے بارے میں اطلاع بھیجنے کے بعد پہلے ہی حذف کر دیا گیا تھا۔ بہت سے بدنیتی پر مبنی ایڈ آنز نے مختلف مقبول ایڈ آنز کی فعالیت کو کاپی کیا، بشمول اضافی براؤزر سیکیورٹی فراہم کرنا، تلاش کی رازداری کو بڑھانا، PDF کی تبدیلی، اور فارمیٹ کی تبدیلی۔
ایڈ آن ڈویلپرز نے پہلے کروم اسٹور میں نقصان دہ کوڈ کے بغیر ایک صاف ورژن پوسٹ کیا، ہم مرتبہ جائزہ لیا، اور پھر ان اپ ڈیٹس میں سے ایک میں تبدیلیاں شامل کیں جس نے انسٹالیشن کے بعد نقصان دہ کوڈ کو لوڈ کیا۔ بدنیتی پر مبنی سرگرمی کے نشانات کو چھپانے کے لیے، ایک منتخب جوابی تکنیک کا بھی استعمال کیا گیا تھا - پہلی درخواست نے ایک بدنیتی پر مبنی ڈاؤن لوڈ واپس کیا، اور اس کے بعد کی درخواستوں نے غیر مشکوک ڈیٹا واپس کیا۔
بدنیتی پر مبنی ایڈ آنس پھیلانے کے اہم طریقے پیشہ ورانہ نظر آنے والی سائٹس کی تشہیر (جیسا کہ نیچے دی گئی تصویر میں ہے) اور کروم ویب اسٹور میں جگہ کا تعین، بعد میں بیرونی سائٹس سے کوڈ کو ڈاؤن لوڈ کرنے کے لیے تصدیقی طریقہ کار کو نظرانداز کرتے ہوئے۔ صرف کروم ویب سٹور سے ایڈ آنز انسٹال کرنے کی پابندیوں کو نظرانداز کرنے کے لیے، حملہ آوروں نے پہلے سے انسٹال کردہ ایڈ آنز کے ساتھ کرومیم کی علیحدہ اسمبلیاں تقسیم کیں، اور سسٹم میں پہلے سے موجود ایڈورٹائزنگ ایپلی کیشنز (ایڈویئر) کے ذریعے بھی انسٹال کیں۔ محققین نے مالیاتی، میڈیا، طبی، دواسازی، تیل اور گیس اور تجارتی کمپنیوں کے ساتھ ساتھ تعلیمی اور سرکاری اداروں کے 100 نیٹ ورکس کا تجزیہ کیا اور ان میں سے تقریباً سبھی میں بدنیتی پر مبنی ایڈز کی موجودگی کے نشانات پائے۔
بدنیتی پر مبنی ایڈ آنز تقسیم کرنے کی مہم کے دوران، سے زیادہ , مقبول سائٹس (مثال کے طور پر، gmail.com، youtubeunblocked.net، وغیرہ) کے ساتھ ایک دوسرے کو ملانا یا پہلے سے موجود ڈومینز کے لیے تجدید کی مدت ختم ہونے کے بعد رجسٹرڈ۔ ان ڈومینز کو نقصان دہ سرگرمی کے انتظام کے بنیادی ڈھانچے میں اور نقصان دہ JavaScript داخلوں کو ڈاؤن لوڈ کرنے کے لیے بھی استعمال کیا گیا تھا جو صارف کے کھولے گئے صفحات کے تناظر میں کیے گئے تھے۔
محققین کو Galcomm ڈومین رجسٹرار کے ساتھ ایک سازش کا شبہ ہے، جس میں بدنیتی پر مبنی سرگرمیوں کے لیے 15 ہزار ڈومین رجسٹر کیے گئے تھے (اس رجسٹرار کے جاری کردہ تمام ڈومینز کا 60٪)، لیکن Galcomm کے نمائندے ان مفروضوں سے ظاہر ہوتا ہے کہ درج شدہ ڈومینز میں سے 25% پہلے ہی حذف کر دیے گئے ہیں یا Galcomm کے ذریعے جاری نہیں کیے گئے، اور باقی، تقریباً سبھی غیر فعال پارکڈ ڈومینز ہیں۔ Galcomm کے نمائندوں نے یہ بھی بتایا کہ رپورٹ کے عوامی انکشاف سے پہلے کسی نے بھی ان سے رابطہ نہیں کیا، اور انہیں تیسرے فریق کی جانب سے بدنیتی پر مبنی مقاصد کے لیے استعمال ہونے والے ڈومینز کی فہرست موصول ہوئی اور اب وہ ان پر اپنا تجزیہ کر رہے ہیں۔
جن محققین نے اس مسئلے کی نشاندہی کی، وہ نقصان دہ ایڈ آنز کا ایک نئی روٹ کٹ سے موازنہ کرتے ہیں - بہت سے صارفین کی اہم سرگرمی ایک براؤزر کے ذریعے کی جاتی ہے، جس کے ذریعے وہ مشترکہ دستاویزات کے ذخیرہ، کارپوریٹ انفارمیشن سسٹم اور مالیاتی خدمات تک رسائی حاصل کرتے ہیں۔ ایسے حالات میں، حملہ آوروں کے لیے مکمل روٹ کٹ انسٹال کرنے کے لیے آپریٹنگ سسٹم کو مکمل طور پر سمجھوتہ کرنے کے طریقے تلاش کرنا کوئی معنی نہیں رکھتا - نقصان دہ براؤزر ایڈ آن انسٹال کرنا اور اس کے ذریعے خفیہ ڈیٹا کے بہاؤ کو کنٹرول کرنا بہت آسان ہے۔ یہ. ٹرانزٹ ڈیٹا کی نگرانی کے علاوہ، ایڈ آن مقامی ڈیٹا، ویب کیمرہ، یا مقام تک رسائی کی اجازت کی درخواست کر سکتا ہے۔ جیسا کہ پریکٹس شو، زیادہ تر صارفین درخواست کردہ اجازتوں پر توجہ نہیں دیتے، اور 80 مقبول ایڈ آنز میں سے 1000% تمام پروسیس شدہ صفحات کے ڈیٹا تک رسائی کی درخواست کرتے ہیں۔
ماخذ: opennet.ru