TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยจาก ICEBRG บริษัทด้านความมั่นคงปลอดภัยไซเบอร์ได้ค้นพบ Chrome Extension ใน Web Store ซึ่งมีพฤติกรรมอันตราย 4 ตัว โดย Extension เหล่านั้นเปิดช่องให้ผู้โจมตีส่งคำสั่งอันตรายในรูปแบบของ JavaScript มายัง Browser ของผู้ใช้ได้ นอกจากนี้คาดว่ามีผู้ที่กำลังใช้ Extension ดังกล่าวกว่า 5 แสนคน
นักวิจัยกล่าวว่าการออกแบบของกลไกการทำงานของ JavaScript บน Chrome นั้นจะ Execute โค้ด JavaScript ที่บรรจุอยู่ใน JSON โดย Chrome เองก็มีการป้องกันการรับ JSON จากแหล่งที่มาภายนอกโดย Extension อยู่แล้ว หากต้องการใช้มันจะต้องร้องขอผ่าน Content Security Policy (มาตรฐานของความมั่นคงปลอดภัยคอมพิวเตอร์เพื่อป้องกันการ Cross-site Scripting, Clickjacking และการ Code Injection อื่นๆ) อย่างไรก็ตามถ้า Extension มีการเปิดฟังก์ชัน ‘unsafe-eval‘ มันจะสามารถรับและประมวลผล JSON จากเซิร์ฟเวอร์ที่ควบคุมจากภายนอกได้ ด้วยเหตุนี้เองเจ้าของ Extension ที่กระทำการแบบนี้จะสามารถ Inject และ Execute โค้ด JavaScript ตามต้องการเมื่อเซิร์ฟเวอร์ได้รับการร้องขอ
ตอนนี้นักวิจัยยังพบเพียงว่าผู้โจมตีใช้ฟีเจอร์เหล่านี้เพื่อการปลอมแปลงการคลิกเพื่อโหลดไซต์ (click-fraud) ไว้เบื้องหลังและการคลิกโฆษณาเท่านั้น รายชื่อของ Extension ทั้ง 4 ตัวมีดังนี้ Change HTTP Request Header, Nyoogle-Custom Logo for Google, Lite Bookmarks และ Stickers-Chrome’s Post-it Notes อย่างไรก็ตาม 3 ใน 4 ของ Extension ถูกลบออกจาก Web Store แล้ว (ยังเหลือ Nyoogle) แต่ผู้ใช้ที่ดาวน์โหลดไปแล้วก็ยังมี Extension นี้อยู่ซึ่งทาง ICEBG แนะนำให้ผู้ใช้ตรวจสอบตนเองและลบ Extension ออก ศึกษารายงานฉบับเต็มของ ICEBRG ได้ที่นี่
ที่มา : https://www.bleepingcomputer.com/news/security/over-500-000-users-impacted-by-four-malicious-chrome-extensions/ และ https://threatpost.com/google-chrome-once-again-target-of-malicious-extensions/129443/
