โหดไปไหม … ขโมยข้อมูลเบราเซอร์จากการตรวจจับแสงสว่างรอบอุปกรณ์

หลังจากที่ Google พยายามขอให้ยกเลิกการร้องขอคำอนุญาตในการใช้เซ็นเซอร์หลายรายการบนอุปกรณ์เมื่อผู้ใช้เปิดเว็บเบราเซอร์ ซึ่งมีผู้เชี่ยวชาญหลายคนไม่เห็นด้วยเนื่องจากกังวลเรื่องความเป็นส่วนบุคคล ล่าสุด Lukasz Olejnik หนึ่งในผู้ไม่เห็นด้วยได้ออกมาสาธิตการขโมยข้อมูลเบราเซอร์และ QR Code โดยใช้เซ็นเซอร์ตรวจจับแสงสว่างโดยรอบอุปกรณ์

Credit: Strejman/ShutterStock

เซ็นเซอร์ตรวจจับแสงล้อมรอบ (Ambient Light Sensor) พบได้ในสมาร์ทโฟน แท็บเล็ต และโน๊ตบุ๊คแทบทุกรุ่นและถูกใช้งานมานับ 10 ปี เป็นเซ็นเซอร์พื้นฐานสำคัญที่ถูกใช้เพื่อตรวจจับแสงสว่างโดยรอบของอุปกรณ์ และทำการปรับความสว่างหน้าจอให้เหมาะสมกับเงื่อนไขต่างๆ โดยอัตโนมัติ สมาคม W3C เองก็ได้พัฒนา API พิเศษเพื่อช่วยให้เว็บไซต์สามารถติดต่อกับเซ็นเซอร์ดังกล่าวผ่านเว็บเบราเซอร์เพื่อให้นักพัฒนานำข้อมูลไปใช้ประโยชน์ต่อได้

ปัจจุบันนี้ ทั้ง Chrome และ Firefox ต่างรองรับการใช้ API เพื่อพูดคุยกับเซ็นเซอร์ตรวจจับแสงล้อมรอบเป็นที่เรียบร้อย และล่าสุด ในงานประชุมเรื่อง W3C Generic Sensor Specification ทางทีม Google ได้เสนอให้เว็บเบราเซอร์ไม่ต้องร้องขอคำอนุญาตเรื่องการใช้เซ็นเซอร์ 4 รายการจากผู้ใช้ ได้แก่ ตรวจจับแสงล้อมรอบ เซ็นเซอร์ตรวจจับการหมุน เซ็นเซอร์วัดค่าแม่เหล็ก และเซ็นเซอร์วัดอัตราเร่ง เนื่องจาก Google ต้องการใช้เว็บเบราเซอร์มีคุณสมบัติเทียบเท่ากับแอพพลิเคชันบนอุปกรณ์พกพาที่สามารถติดต่อกับเซ็นเซอร์เหล่านั้นเพื่อขอข้อมูลได้ทันทีโดยไม่ต้องขออนุญาต

ใช้ความต่างของแสงจากหน้าจอในการขโมยข้อมูล

อย่างไรก็ตาม หลายฝ่ายแสดงความไม่เห็นด้วยกับข้อเสนอนี้ รวมไปถึง Lukasz Olejnik และ Artur Janc ล่าสุดทั้ง 2 คนได้ออกมาพิสูจน์แล้วว่า เซ็นเซอร์ตรวจจับแสงล้อมรอบนั้น เก็บข้อมูลของแสงที่เปล่งออกมาจากหน้าจอของอุปกรณ์ด้วยเช่นกัน ซึ่งพวกเขาสามารถนำข้อมูลการเปล่งแสงนั้นมาขโมยข้อมูลของผู้ใช้ได้ วิธีก็ไม่ยาก เพียงแค่หลอกให้ผู้ใช้เข้าถึงเว็บไซต์ที่มีโค้ดสำหรับขโมยข้อมูลแฝงอยู่ เมื่อผู้ใช้เข้าถึงเว็บนั้น Olejnik และ Janc ก็จะทราบข้อมูล URL ที่ผู้ใช้คนดังกล่าวเคยเข้าถึงทันที โดยอาศัยความแตกต่างเพียงเล็กน้อยของข้อมูลแสงที่เปล่งออกมาจากหน้าจอ อันเกิดจากสีของลิงค์ URL ปกติ และลิงค์ URL ที่เคยเข้าถึงแล้ว (โหดไปไหม… )

สำหรับผู้ที่คิดว่าการเก็บข้อมูล URL ที่เคยเข้าถึงไปแล้วอาจไม่เลวร้ายมากนัก Lukasz Olejnik และ Artur Janc ได้สาธิตการใช้เซ็นเซอร์ตรวจจับแสงล้อมรอบในการขโมย QR Code ด้วยเช่นกัน แต่เพียงต้องใช้เวลานานสักนิดหนึ่ง

ล่าสุด ทั้ง Chrome และ Firefox ต่างบล็อกการเชื่อมต่อกับเซ็นเซอร์ตรวจจับแสงล้อมรอบเป็นที่เรียบร้อย เนื่องจาก API อยู่ระหว่างการทดลองและยังมีอีกหลายประเด็นที่ต้องทบทวน

Olejnik ระบุว่า การรับมือกับการโจมตีนี้ทำได้ง่ายมาก เพียงแค่ให้เว็บเบราเซอร์และ W3C ตั้งค่า Default ของความถี่ในการอ่านข้อมูลจากเซ็นเซอร์ใหม่ให้นานขึ้น รวมไปถึงจำกัดความแม่นยำของข้อมูลที่ได้รับจากเซ็นเซอร์ให้เหมาะสม

ที่มา: https://www.bleepingcomputer.com/news/security/ambient-light-sensors-can-be-used-to-steal-browser-data/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Internal Build และ Source Code ของ Windows 10 ขนาด 32TB รั่ว ตอนนี้ถูกระงับการเผยแพร่แล้ว

betaarchive.com ได้ออกมาเปิดเผยถึงข้อมูล Internal Build และ Source Code ของ Microsoft Windows 10 ขนาด 32TB ที่ถูกบีบอัดจนเหลือ 8TB …

เตือนการโจมตี GhostHook บายพาส Windows PatchGuard แม้ Windows 10 ก็ไม่รอด

นักวิจัยด้านความมั่นคงปลอดภัยจาก CyberArk ค้นพบเทคนิคการบายพาสระบบป้องกัน Windows PatchGuard โดยอาศัยฟีเจอร์ของ Intel CPU และลอบส่งโค้ดแปลกปลอมเข้ามารันใน Windows Kernel เพื่อฝัง Rootkis บนระบบปฏิบัติการได้ โดยเรียกการโจมตีนี้ว่า …