गंभीर व्याकरणिक भेद्यता उपयोगकर्ता की जानकारी चोरी करने की अनुमति देती है

व्याकरण के ब्राउज़र एक्सटेंशन में "गंभीरता बग" उपयोगकर्ता की गोपनीयता को खतरे में डालता है

लाखों व्याकरण^[1] वर्तनी, व्याकरण और भाषा जांचकर्ता के जिन उपयोगकर्ताओं ने Chrome या Firefox एक्सटेंशन इंस्टॉल किया है, वे खतरे में पड़ सकते हैं। व्याकरण-जांच करने वाले ऐप में "गंभीरता बग" का पता चला था जो वेबसाइटों को प्रमाणीकरण टोकन चोरी करने की अनुमति देता है। इसका मतलब है कि हमलावर ऐप पर अपलोड किए गए सभी डेटा तक पहुंच प्राप्त कर सकते हैं।

Google के प्रोजेक्ट ज़ीरो शोधकर्ता टैविस ऑरमैंडी^[2] Google क्रोम एक्सटेंशन में एक दोष की खोज की जिसके लगभग 22 मिलियन उपयोगकर्ता हैं। आगे की जांच से पता चला कि ऐड-ऑन के फ़ायरफ़ॉक्स संस्करण में भी यही समस्या मौजूद है।

कुछ स्रोतों के अनुसार, ग्रामरली फ़ायरफ़ॉक्स एक्सटेंशन को लगभग 1,000,000 बार इंस्टॉल किया गया था। इस बीच, क्रोम एक्सटेंशन के बारे में कहा जाता है कि इसमें 10,000,000 से अधिक इंस्टॉल हैं।^[3] इसलिए, यदि आप इस भाषा जाँच ऐप का उपयोग कर रहे हैं, तो यह सुनिश्चित करना बेहतर होगा कि आप नवीनतम संस्करण का उपयोग कर रहे हैं। डेवलपर्स ने पहले से ही भेद्यता पैच प्रदान किए हैं।^[4]

उपयोगकर्ता की जानकारी से समझौता करने के लिए कोड की केवल चार पंक्तियों की आवश्यकता होती है

प्रमाणीकरण स्वयं एक क्रिप्टोग्राफ़िक स्ट्रिंग है जो एक सर्वर द्वारा सेट की जाती है और एक ब्राउज़र कुकी के रूप में कार्य करती है जो आपके वेबसाइट पर लॉग इन करते ही सेट हो जाती है। फिर ब्राउज़र सर्वर को यह सूचित करते हुए वापस जानकारी भेजता है कि यह आप ही हैं जो साइट को ब्राउज़ करना और उपयोग करना जारी रखते हैं। इस कारण से, जब भी आप किसी विशेष बटन पर क्लिक करते हैं या उसी वेबसाइट पर नए पृष्ठों पर जाते हैं, तो आपको हर बार लॉग इन करने की आवश्यकता नहीं होती है।

हालाँकि, ग्रामरली में दोष हमलावरों को उपयोगकर्ता के टोकन चोरी करने और आपके होने का दिखावा करने वाली वेबसाइटों तक पहुंचने की अनुमति देता है। ऐसा करने के लिए, हमलावरों को केवल मैन्युअल रूप से या स्क्रिप्ट का उपयोग करके कोड की चार पंक्तियों का उपयोग करने की आवश्यकता होती है।

यह कोड एक टोकन उत्पन्न करता है जो ग्रामरली कुकी से मेल खाता है। जैसे ही कोई उपयोगकर्ता अपने खाते में Grammarly.com के माध्यम से लॉग इन करता है, प्रमाणीकरण टोकन चोरी हो सकता है और तीसरे पक्ष द्वारा उपयोग किया जा सकता है। नतीजतन, हमलावर सर्वर को धोखा देते हैं कि यह आप हैं जो साइट का उपयोग कर रहे हैं और आपकी जानकारी तक पहुंच प्राप्त करते हैं:

[A] ny वेबसाइट आपके जैसे ही Grammarly.com पर लॉग इन कर सकती है और आपके सभी दस्तावेज़ों, इतिहास, लॉग्स और अन्य सभी डेटा तक पहुंच बना सकती है। मैं इसे एक उच्च गंभीरता वाला बग कह रहा हूं, क्योंकि यह उपयोगकर्ता की अपेक्षाओं का बहुत गंभीर उल्लंघन लगता है।

ध्यान रखें कि कार्यक्रम न केवल आपके बारे में विभिन्न जानकारी एकत्र करता है (हमें उम्मीद है, आपने उनकी गोपनीयता नीति पढ़ ली है^[5]), लेकिन आपके चेक किए गए लेखों, दस्तावेजों, पत्रों और अन्य पाठों की प्रतियां सहेज सकते हैं, और यहां आपने हमलावरों के लिए कुछ रोचक या संवेदनशील जानकारी शामिल की हो सकती है।

22 लाख व्याकरण उपयोगकर्ताओं को एक्सटेंशन को अपडेट करने की चेतावनी दी जाती है

Grammarly को एक समस्या के बारे में बताया गया और उसने Chrome वेब स्टोर में तुरंत एक अपडेट प्रस्तुत किया। इसलिए, उपयोगकर्ताओं को यह सुनिश्चित करना होगा कि वे ग्रामरली क्रोम एक्सटेंशन (14.826.1446 या नए) के अप-टू-डेट संस्करण का उपयोग कर रहे हैं।

Mozilla Firefox के डेवलपर्स ने भी इस सुरक्षा भेद्यता को ठीक किया है। फिर भी, उपयोगकर्ताओं को एक स्वचालित अद्यतन प्राप्त करना चाहिए; यह अभी भी जांचने की अनुशंसा की जाती है कि क्या वे संभावित डेटा रिसाव से बचने के लिए ऐड-ऑन के 8.804.1449 संस्करण (या नए) संस्करण का उपयोग कर रहे हैं।