พบช่องโหว่บน Browser ที่ช่วยให้ทราบถึงแอปพลิเคชันที่ติดตั้งบนเครื่องได้

ผู้เชี่ยวชาญได้เปิดเผยถึงช่องโหว่ที่กระทบกับ Browser หลายค่ายทั้ง Chrome, Safari, Firefox, Tor แม้กระทั่ง Private Mode ก็ไม่ช่วย โดยช่องโหว่สามารถทำให้ทราบถึงแอปพลิเคชันที่เราติดตั้งบนเครื่องได้

ช่องโหว่ดังกล่าวทางผู้เชี่ยวชาญตั้งชื่อว่า ‘Scheme Flooding’ โดยไอเดียก็คือในช่อง URL สามารถทำการตรวจสอบว่าผู้ใช้งานติดตั้งแอปพลิเคชันอะไรอยู่ได้เช่น ลองพิมพ์ว่า skype:// โดยหากเรามีแอปนี้อยู่เครื่องก็จะเด้ง Pop-up ขึ้นมา อย่างไรก็ดีแนวคิดนี้สามารถประยุกต์ใช้เพื่อตรวจสอบการมีอยู่ของแอปพลิเคชันได้อีกมากเช่น Spotify, Zoom, Slack, Telegram, Discord, Steam, Xcode, Microsoft Word, NordVPN, Hotspot Shield และอื่นๆ โดยผู้สนใจสามารถเข้าไปลองเล่นได้ที่ https://schemeflood.com/ (ผลการทดสอบของผู้เขียนเองพบแอปพลิเคชันตามภาพด้านล่าง แม้ Firefox Private Mode ก็ไม่ช่วย)

คำถามคือเมื่อรู้ว่าติดตั้งอะไรแล้วสำคัญอย่างไร คำตอบก็คือผู้ไม่หวังดีสามารถสร้างโปรไฟล์พฤติกรรมของเราได้ เช่น เป็นผู้ใช้ลักษณะไหน และนำข้อมูลในไปใช้ในการโจมตีหรือยิงโฆษณาที่เกี่ยวข้องกับเราเป็นต้น ปัจจุบัน Chrome เป็น Browser เจ้าเดียวที่มีแนวทางแพตช์ปัญหาแล้วอย่างชัดเจน ตามมาด้วย Edge ผู้สนใจสามารถศึกษาสคิร์ปต์สำหรับทดสอบได้ที่ https://github.com/fingerprintjs/external-protocol-flooding

ที่มา : https://www.helpnetsecurity.com/2021/05/17/track-users-online/ และ https://www.hackread.com/cross-browser-tracking-compromises-user-anonymity/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …