ฟรี Chrome Extension ป้องกัน JavaScript-based Side Channel Attacks

ทีมนักวิจัยระดับอุดมศึกษาประสบความสำเร็จในการพัฒนา Extension บน Google Chrome ซึ่งช่วยป้องกันการโจมตีแบบ Side Channel ที่ใช้โค้ด JavaScript ในการขโมยข้อมูลจาก CPU หรือ RAM ของอุปกรณ์คอมพิวเตอร์ ผู้ที่สนใจสามารถโหลดไปทดลองใช้งานได้ฟรี

Extension ดังกล่าวมีชื่อว่า Chrome Zero สามารถป้องกันการโจมตีแบบ Side Channel สมัยใหม่ที่ดำเนินการผ่านการรัน JavaScript บนเว็บเบราว์เซอร์ได้มากถึง 11 แบบ แบ่งออกเป็น 5 กลุ่ม ได้แก่ JS-recoverable Memory Addresses, Accurate Timing (Time Difference), Multitreading, Shared Data และ Sensor API โดยใช้วิธีดักจับโค้ด JavaScript แล้วเขียน Functions, Properties และ Objects ส่วนที่พยายามขโมยข้อมูลจาก CPU และ RAM ขึ้นมาใหม่ให้ไม่มีอันตรายแทน

นักวิจัยยังระบุอีกว่า ถึงแม้ว่าการทำงานของ Chrome Zero จะค่อนไปทางเชิงรุก แต่ผลการทดสอบแสดงให้เห็นว่า Extension ดังกล่าวส่งผลกระทบต่อประสิทธิภาพของเบราว์เซอร์เพียงแค่ 1.54% เท่านั้น รวมไปถึงทำให้เพจโหลดช้าลงเพียง 0.01064 ถึง 0.08908 วินาที (ขึ้นกับ Policies ที่ดำเนินการตอน Runtime)

นอกจากนี้ Chrome Zero ยังมีผลข้างเคียงที่คาดไม่ถึงจากวิธีการป้องกัน โดยทีมนักวิจัยพบว่า กระบวนการของ Chrome Zero ช่วยบล็อกการโจมตีแบบ Zero-day ที่ค้นพบหลังเวอร์ชัน 49 ได้มากถึง 50% ต้องขอบคุณวิธีการเขียนโค้ดใหม่เพื่อลดระดับความอันตรายของฟังก์ชันบางอย่างลง

ตอนนี้ Chrome Zero ยังไม่ถูกบรรจุเข้า Chrome Web Store ผู้ที่สนใจสามารถดาวน์โหลด Extension มาลองติดตั้งได้ผ่านทาง GitHub

ทีมนักวิจัยเจ้าของ Chrome Zero เป็นหนึ่งในผู้ที่อยู่เบื้องหลังการคิดค้นการโจมตีแบบ Rawhammer โดยใช้ JavaScript และช่วยชี้ช่องโหว่ Meltdown และ Spectre สามารถอ่านงานวิจัยฉบับเต็มได้ที่ JavaScript Zero: Real JavaScript and Zero Side-Channel Attacks [PDF]

ที่มา: https://www.bleepingcomputer.com/news/security/chrome-extension-protects-against-javascript-based-cpu-side-channel-attacks/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบบั๊กบน Facebook API รูปภาพของผู้ใช้กว่า 6.8 ล้านคนเสี่ยงหลุดสู่ภายนอก

Facebook ออกแถลงการณ์ พบบั๊กบน Application Programming Interface (API) สำหรับรูปภาพบนแพลตฟอร์มโซเชียลมีเดียของตน ซึ่งอาจทำให้บุคคลที่สามสามารถเข้าถึงรูปภาพของผู้ใช้กว่า 6,800,000 คนเกินกว่าที่กำหนดไว้ได้โดยไม่ได้รับอนุญาต

สหรัฐฯ เตือนประชาชนอยู่ในความสงบ หลังพบอีเมลสแปมขู่วางระเบิดทั่วสหรัฐฯ

ตำรวจและหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องของสหรัฐฯ ออกมาแจ้งเตือนให้ประชาชนอยู่ในความสงบ หลังพบแคมเปญอีเมลสแปมขู่วางระเบิดแพร่กระจายในหลายเมือง ไม่ว่าจะเป็นนิวยอร์ก ชิคาโก ดีทรอยต์ ซาน ฟรานซิสโก และวอชิงตัน หากไม่ยอมจ่ายค่าไถ่ $20,000 (ประมาณ 650,000 บาท) ส่งผลให้เกิดความวุ่นวายและการอพยพหนีออกจากอาคารไปทั่วทั้งสหรัฐฯ