டாக்குமெண்ட்ஸ் (டாக்ஸ்) மற்றும் ஸ்லைட்ஸ் போன்ற கூகுள் ஆப்களில் உள்ள கமெண்ட்டுகள் மூலம் ஹேக்கர்கள் தவறான இணைப்புகளை அனுப்பி வருகின்றனர், கடந்த ஆண்டு முதல் இந்த பிரச்சனை நடைபெற்று வருகிறது.
ஆனால் கூகுளால் இன்னும் முழுமையாக சரி செய்யப்படவில்லை என்று இணைய பாதுகாப்பு ஆராய்ச்சியாளர்கள் எச்சரித்துள்ளனர்.
அமெரிக்காவை தளமாகக் கொண்ட நிறுவன சைபர் செக்யூரிட்டி நிறுவனமான அவனன் கருத்துப்படி, ஹேக்கர்கள் ஸ்பேம் லிங்குகள், தீங்கிழைக்கும் லிங்குகள் பரப்புவதற்கு கூகுள் டாக்குமெண்ட்ஸின் உற்பத்தித்திறன் அம்சங்களை அதிகளவில் பயன்படுத்துகின்றனர்.
கடந்த ஆண்டு ஜூன் மாதம், அவனன் கூகுள் டாக்ஸில் நடைபெறும் ஒரு பிரச்னையை பற்றி அறிக்கை விடுத்திருந்தனர். அதில் ஹேக்கர்கள் தீங்கிழைக்கும் ஃபிஷிங் வலைத்தளங்களை நேரடியாக பயனர்களுக்கு எளிதாக அனுப்ப அனுமதித்தது. இப்போது, ஹேக்கர்கள் அதையே செய்ய புதிய வழியைக் கண்டுபிடித்துள்ளனர்.
“டிசம்பர் 2021 முதல், அவுட்லுக் பயனர்களை குறிவைத்து, கூகுள் டாக்ஸில் ‘கமெண்ட்’ அம்சத்தை பயன்படுத்தி லிங்குகளை பரப்பும் ஹேக்கர்களின் புதிய அலையை அவனன் கவனித்தது” என்று ஆராய்ச்சியாளர் ஜெர்மி ஃபுச்ஸ் கூறினார்.
கூகுள் தொகுப்பில் உள்ள ‘கமெண்ட்’ அம்சம் ஹேக்கர்கள் தாக்குவதற்கான வழியாக மாறியுள்ளது என்று அவர் ஒரு அறிக்கையில் கூறியுள்ளார். ரிப்போர்ட் ஃபிஷ் மூலம் இந்த குறைபாட்டை ஜீமெயிலில் கூகுளுக்கு ஜனவரி 3 அன்று தெரிவித்ததாக அவனன் கூறியது.
இந்த அறிக்கைக்கு கூகுள் இன்னும் பதிலளிக்கவில்லை. இதுபோன்ற ஒரு தாக்குதலில், ஹேக்கர்கள் கூகுள் டாக்ஸில் ஒரு கமெண்டை சேர்க்கிறார்கள். கமெண்ட் இலக்கை ‘@’ உடன் குறிப்பிடுகிறது, அவ்வாறு செய்வதன் மூலம், அந்த நபரின் இன்பாக்ஸிற்கு ஒரு மின்னஞ்சல் தானாகவே அனுப்பப்படும்.
“கூகுளில் இருந்து வரும் அந்த மின்னஞ்சலில், தவறான இணைப்புகள் மற்றும் எழுத்துகள் உள்ளிட்ட முழுக் கருத்தும் இடப்பெற்றிருக்கும். மேலும், மின்னஞ்சல் முகவரி காட்டப்படுவதில்லை. மெயில் கிடைக்கப்பெற்றவரின் பெயர் மட்டுமே இடம்பெற்றிருக்கும். இதனால் அனுப்புபவர் யார் என்று தெரியாது” என்று அறிக்கை கூறுகிறது.
“இந்த மின்னஞ்சல் தாக்குதலில், தீங்கிழைக்கும் இணைப்புகளை அனுப்புவதற்கு, கூகுள் டாக்ஸ் மற்றும் பிற கூகுள் ஒத்துழைப்புக் கருவிகளைப் பயன்படுத்த ஹேக்கர்கள் ஒரு வழியைக் கண்டறிந்தனர்.
இது Outlook பயனர்களை குறிவைப்பதை நாங்கள் முதன்மையாகப் கண்டறிந்தோம். இதன்மூலம் ஹேக்கர்கள் 30 பயனர்களுக்கு 500 மெயில்களை அனுப்பினர். அவை 100 க்கும் மேற்பட்ட வெவ்வேறு ஜிமெயில் கணக்குகளில் இருந்து வந்தது.” என்று அந்த அறிக்கை விரிவாகக் கூறியது.
இந்த தாக்குதல்களில் இருந்து பாதுகாக்க, Google Docs கமெண்ட்டுகளை கிளிக் செய்வதற்கு முன், பயனர்கள் அது முறையானதா என்பதை உறுதிப்படுத்த, கருத்துரையில் உள்ள மின்னஞ்சல் முகவரியை க்ராஸ்-செக் செய்ய வேண்டும்.
“இணைப்புகளை ஆய்வு செய்தல் மற்றும் இலக்கணத்தை ஆய்வு செய்தல் மற்றும் கோப்பு பகிர்வு உட்பட முழு தொகுப்பையும் பாதுகாக்கும் விஷயங்களை வரிசைப்படுத்துதல் உள்ளிட்ட நிலையான சைபர் சுகாதாரத்தைப் பயன்படுத்தவும்” என்று ஆராய்ச்சியாளர்கள் தெரிவித்தனர்.
