محققین نے کروم اور دیگر کرومیم براؤزرز میں خاموشی سے اپنی توسیع طے کرنے کا ایک نیا طریقہ تلاش کیا ہے۔ اور یہ سب صارفین کے لئے غیر ضروری انتباہ کے بغیر۔ توجہ یہ ہے کہ اضافی تنصیب کی ترتیبات کیسے ہیں۔
عام طور پر ، ایپ ڈیٹا میں خصوصی JSON فائلوں کو کنٹرول کے لئے استعمال کیا جاتا ہے ، جس میں توسیعی افادیت انسٹال کی جاتی ہے اور توثیق کوڈ (میک) سلائی ہوتی ہے۔ لیکن سائنس دانوں نے یہ ظاہر کیا ہے کہ ان ٹیسٹوں کو ڈسک کے لئے صرف ایک صاف ریکارڈ کے ساتھ نظرانداز کیا جاسکتا ہے۔
طریقہ یہ اس طرح کام کرتا ہے: سب سے پہلے ، حملہ آور مطلوبہ توسیع کی شناخت کا حساب لگاتا ہے ، پھر براؤزر کے وسائل سے دستخط کے لئے ایک خفیہ کلید کھینچتا ہے اور صحیح ٹیسٹ کوڈ تیار کرتا ہے۔
اس کے بعد ، ابھی بھی ترتیبات کو دوبارہ لکھنا تھا – اور شروع کرتے وقت براؤزر نے اطاعت کے ساتھ بائیں بائیں بائیں بائیں لانچ کیا۔ مزید یہ کہ ، کمانڈ لائن پر کوئی جھنڈا نہیں ہے یا کروم اسٹور سے ڈاؤن لوڈ کرنا ہے۔
ایک علیحدہ چال یہ ہے کہ توسیع کا تعی .ن اسٹومپنگ ہے ، اگر مقامی توسیع کی سرکاری کروم ویب سائٹ کے ساتھ ایک ہی شناخت ہے تو ، مقامی ورژن کو ترجیح ملے گی۔ اور منتظمین کے ذریعہ اجازت دی گئی پلگ ان کو چھپانے کا یہ براہ راست راستہ ہے۔
یہاں تک کہ ڈومین نیٹ ورک میں گروپ سیاستدان معاشی نہیں ہیں: وہ جعلی ہوسکتے ہیں یا رجسٹریشن بک (HKCU \ سافٹ ویئر \ پالیسی \ گوگل \ کروم) میں کورسز کو ہٹا سکتے ہیں۔
حملہ آوروں کے ل this ، اس کا مطلب نظام اور نئے محافظوں – سر درد کے لئے ایک پرسکون اور قابل اعتماد مرمت نقطہ ہے۔ ماہرین انسٹالیشن فائلوں میں نگرانی میں تبدیلی ، ڈویلپر حکومت کے کام کی شفٹوں کی جانچ پڑتال اور رجسٹر میں مشکوک ایڈیٹر کی نگرانی کرنے کی سفارش کرتے ہیں۔
لہذا ، تحقیق پورے کرومیم فن تعمیر کے لئے ایک کمزور مقام کو ظاہر کرتی ہے: جامد HMAC لاک اور فائلوں کی دستیابی ریکارڈ کرنے کے لئے۔ نقصان کو بند کرنے کے ل you ، آپ کو سسٹم میں مزید گہرائی سے جانچ پڑتال کرنا ہوگی یا آپریٹنگ سسٹم کی سطح پر خفیہ کاری میں اضافہ کرنا پڑے گا۔
