ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์
คำนวณสกุลเงินต่างประเทศ
นี่ก็เริ่มชิน ! พบช่องโหว่บนส่วนเสริม Chrome ยอดนิยมหลายตัว ทำข้อมูลผู้ใช้งาน และ Keys ต่าง ๆ รั่วไหล
Sarun_ss777
ถึงแม้เว็บเบราว์เซอร์อย่าง Chrome นั้นจะมีความนิยมที่สูง แต่ในเวลาเดียวกันก็เป็นเว็บเบราว์เซอร์ที่มีข่าวเรื่องช่องโหว่ความปลอดภัย ไม่ว่าจะเป็นบนตัวเว็บเบราว์เซอร์เอง หรือ ตัวส่วนเสริม (Extension) ต่าง ๆ ออกมาเป็นประจำจนผู้ใช้งานหลายรายชินชา และสำหรับข่าวนี้ก็เป็นอีกกรณีหนึ่งของช่องโหว่นี้
จากรายงานโดยเว็บไซต์ The Hacker news ได้กล่าวถึงการตรวจพบช่องโหว่ของส่วนเสริมบน Chrome หลายตัวที่สามารถนำไปสู่การรั่วไหลของข้อมูลผู้ใช้งาน อันเนื่องมาจากการใช้วิธีการส่งข้อมูลทาง HTTP ซึ่งเป็นวิธีการส่งข้อมูลที่ไม่ปลอดภัย เพราะอาจถูกแฮกเกอร์ใช้วิธีการดักจับข้อมูลโดยการแทรกแซงเป็นตัวกลางระหว่างการส่งข้อมูลจากต้นทางสู่ปลายทาง (Adversary-in-the-Middle หรือ AitM) ได้ โดยการตรวจพบดังกล่าวนั้นเป็นผลงานของทีม Security Technology and Response ซึ่งเป็นทีมวิจัยด้านภัยไซเบอร์ของทางบริษัท Symantec ผู้พัฒนาเครื่องมือแอนตี้ไวรัสชื่อดัง โดยส่วนเสริมที่ได้รับผลกระทบนั้นมีดังนี้
- Google เปิดโปง Meta แอบสอดส่องผู้ใช้งานอย่างไม่รู้ตัวผ่านแอป IG และ FB บน Android
- อุปกรณ์ Android กว่าล้านเครื่องทั่วโลก กำลังติดมัลแวร์ Badbox 2.0 อยู่ ณ ตอนนี้
- แฮกเกอร์ใช้มัลแวร์แบบ Loader ฝ่าระบบจำกัดการใช้โหมด Accessibility บน Android 13 ขึ้นไป
- Google ออกอัปเดตแพทซ์ด่วนปิดช่องโหว่ Zero-Day ตัวใหม่บน Chrome ที่ถูกแฮกเกอร์ใช้งานอย่างแพร่หลาย
- พบมัลแวร์ตัวใหม่ EDDIESTEALER มีความสามารถในการฝ่าระบบเข้ารหัสของ Chrome เพื่อขโมยข้อมูลบนเบราว์เซอร์
- SEMRush Rank (extension ID: idbhoeaiokcojcgappfigpifhpkjgmab) และ PI Rank (ID: ccgdboldgdlngcgfdolahmiilojmfndl) ซึ่งมีการเรียกข้อมูลจาก URL "rank.trellian[.]com" ผ่านโปรโตคอล HTTP ที่ไม่มีการรักษาความปลอดภัยระหว่างการส่ง
- Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh) ส่วนเสริมตัวนี้จะมีการติดต่อ (Call) ไปยัง URL "browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com" เมื่อผู้ใช้งานทำการถอนการติดตั้ง ผ่านทางโปรโตคอล HTTP
- MSN New Tab (ID: lklfbkdigihjaaeamncibechhgalldgl) และ MSN Homepage, Bing Search & News (ID: midiombanaceofjhodpdibeppmnamfcj) มีการส่งข้อมูลหมายเลขจำเพาะของเครื่อง (Unique Machine Identifier) และข้อมูลอื่น ๆ ไปยัง "g.ceipmsn[.]com" ผ่านทางโปรโตคอล HTTP
- DualSafe Password Manager & Digital Vault (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc) มีการตรวจพบว่าใช้การสร้าง URL Request ในรูปแบบ HTTP ไปยัง URL "stats.itopupdate[.]com" พร้อมกับมีการส่งข้อมูลรุ่นของส่วนเสริม, ภาษาที่ผู้ใช้งานใช้บนเว็บเบราว์เซอร์, และรูปแบบการใช้งาน อีกด้วย
นอกจากนั้นยังมีการตรวจพบช่องโหว่ของการใช้งานคีย์ (Keys) ในรูปแบบต่าง ๆ บนส่วนเสริมซึ่งถูกฝังอยู่ใน JavaScript ของตัวส่วนเสริมด้วยวิธีการ Hard-Coding (การฝังค่าคงที่ลงไปในตัวโค้ด) ไม่ว่าจะเป็น API, Secrets, และ Tokens ทำให้แฮกเกอร์สามารถยิง Request อันตรายมายังส่วนเสริมได้ ซึ่งส่วนเสริมที่มีปัญหานั้นมีดังนี้
- Online Security & Privacy extension (ID: gomekmidlodglbbmalcneegieacbdmki), AVG Online Security (ID: nbmoafcmbajniiapeidgficgifbfmjfo), Speed Dial [FVD] - New Tab Page, 3D, Sync (ID: llaficoajjainaijghjlofdfmbjpebpa), และ SellerSprite - Amazon Research Tool (ID: lnbmbgocenenhhhdojdielgnmeflbnfb) ซึ่งมีการทำ Hard-Coding ตัวกุญแจ API ลับ (API Secret) ของ Google Analytics 4 (GA4) เอาไว้ ทำให้แฮกเกอร์สามารถใช้โจมตีปลายทางที่มีการฝังตัว GA4 (Endpoints) เพื่อให้การแสดงการวัดผลผิดพลาดได้
- Equatio – Math Made Digital (ID: hjngolefdpdnooamgdldlkjgmdcmcjnc) มีการฝังกุญแจ API ของ Microsoft Azure ไว้ภายในเพื่อใช้งานในการจดจำเสียงผู้พูด (Speech Recognition) ซึ่งแฮกเกอร์สามารถใช้งานช่องโหว่นี้ในการแกล้งให้ผู้พัฒนา (Developer) ต้องจ่ายค่าใช้บริการเกินจริง หรือ ทำให้สิทธิ์ในการใช้งาน (Usage Credits) ลดลงได้
- Awesome Screen Recorder & Screenshot (ID: nlipoenfbbikpbjkfpfillcgkoblgpmj) และ Scrolling Screenshot Tool & Screen Capture (ID: mfpiaehgjbbfednooihadalhehabhcjo) มีช่องโหว่ให้แฮกเกอร์สามารถเข้าถึงกุญแจเข้าใช้งาน (Access Key) สำหรับการใช้งาน AWS (Amazon Web Services) ของผู้พัฒนา ในการอัปโหลดรูปภาพตะกร้า S3 ที่ผู้พัฒนาใช้งานงานอยู่
- Microsoft Editor – Spelling & Grammar Checker (ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa) มีช่องโหว่ให้แฮกเกอร์เข้าถึงกุญแจ Telemetry ที่มีชื่อว่า "StatsApiKey" ซึ่งใช้งานในการเก็บข้อมูลผู้ใช้งาน (User Log) เพื่อจุดประสงค์ในการวิเคราะห์ได้
- Antidote Connector (ID: lmbopdiikkamfphhgcckcjhojnokgfeo) พบว่ามีการใช้งาน Library แบบ 3rd Party ที่มีชื่อว่า InboxSDK ซึ่งตัว Library นั้นมีการทำ Hard-Coding ตัวรหัสผ่านและข้อมูลสำคัญต่าง ๆ รวมทั้งกุญแจ API ก็บรรจุรวมอยู่ในนี้ด้วย
- Watch2Gether (ID: cimpffimgeipdhnhjohpbehjkcdpjolg) มีช่องโหว่ให้แฮกเกอร์เข้าถึงตัวกุญแจ API ของ Tenor GIF ได้
- Trust Wallet (ID: egjidjbpglichdcondbcbdnbeeppgdph) มีช่องโหว่ให้แฮกเกอร์เข้าถึงกุญแจ API ที่เชื่อมต่อกับ Ramp Network ซึ่งเป็นแพลตฟอร์มแบบ Web3 ที่เป็นเครื่องมือสนับสนุนให้ผู้พัฒนาส่วนเสริมสามารถเปิดบริการซื้อขายเหรียญคริปโตเคอร์เรนซีโดยตรงผ่านแอปพลิเคชันได้
- TravelArrow – Your Virtual Travel Agent (ID: coplmfnphahpcknbchcehdikbdieognn) มีช่องโหว่ให้แฮกเกอร์สามารถเข้าถึงกุญแจ API ที่ใช้งานสำหรับการเก็บข้อมูลสถานที่ใช้งาน (Geolocation) เมื่อมีการร้องขอข้อมูล (Queries) จาก "ip-api[.]com" ได้
ที่มา : thehackernews.com
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอที ยอดนิยม
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.