TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ทีมนักวิจัยระดับอุดมศึกษาประสบความสำเร็จในการพัฒนา Extension บน Google Chrome ซึ่งช่วยป้องกันการโจมตีแบบ Side Channel ที่ใช้โค้ด JavaScript ในการขโมยข้อมูลจาก CPU หรือ RAM ของอุปกรณ์คอมพิวเตอร์ ผู้ที่สนใจสามารถโหลดไปทดลองใช้งานได้ฟรี
Extension ดังกล่าวมีชื่อว่า Chrome Zero สามารถป้องกันการโจมตีแบบ Side Channel สมัยใหม่ที่ดำเนินการผ่านการรัน JavaScript บนเว็บเบราว์เซอร์ได้มากถึง 11 แบบ แบ่งออกเป็น 5 กลุ่ม ได้แก่ JS-recoverable Memory Addresses, Accurate Timing (Time Difference), Multitreading, Shared Data และ Sensor API โดยใช้วิธีดักจับโค้ด JavaScript แล้วเขียน Functions, Properties และ Objects ส่วนที่พยายามขโมยข้อมูลจาก CPU และ RAM ขึ้นมาใหม่ให้ไม่มีอันตรายแทน
นักวิจัยยังระบุอีกว่า ถึงแม้ว่าการทำงานของ Chrome Zero จะค่อนไปทางเชิงรุก แต่ผลการทดสอบแสดงให้เห็นว่า Extension ดังกล่าวส่งผลกระทบต่อประสิทธิภาพของเบราว์เซอร์เพียงแค่ 1.54% เท่านั้น รวมไปถึงทำให้เพจโหลดช้าลงเพียง 0.01064 ถึง 0.08908 วินาที (ขึ้นกับ Policies ที่ดำเนินการตอน Runtime)
นอกจากนี้ Chrome Zero ยังมีผลข้างเคียงที่คาดไม่ถึงจากวิธีการป้องกัน โดยทีมนักวิจัยพบว่า กระบวนการของ Chrome Zero ช่วยบล็อกการโจมตีแบบ Zero-day ที่ค้นพบหลังเวอร์ชัน 49 ได้มากถึง 50% ต้องขอบคุณวิธีการเขียนโค้ดใหม่เพื่อลดระดับความอันตรายของฟังก์ชันบางอย่างลง
ตอนนี้ Chrome Zero ยังไม่ถูกบรรจุเข้า Chrome Web Store ผู้ที่สนใจสามารถดาวน์โหลด Extension มาลองติดตั้งได้ผ่านทาง GitHub
ทีมนักวิจัยเจ้าของ Chrome Zero เป็นหนึ่งในผู้ที่อยู่เบื้องหลังการคิดค้นการโจมตีแบบ Rawhammer โดยใช้ JavaScript และช่วยชี้ช่องโหว่ Meltdown และ Spectre สามารถอ่านงานวิจัยฉบับเต็มได้ที่ JavaScript Zero: Real JavaScript and Zero Side-Channel Attacks [PDF]
