Advertisement

โหดไปไหม … ขโมยข้อมูลเบราเซอร์จากการตรวจจับแสงสว่างรอบอุปกรณ์

หลังจากที่ Google พยายามขอให้ยกเลิกการร้องขอคำอนุญาตในการใช้เซ็นเซอร์หลายรายการบนอุปกรณ์เมื่อผู้ใช้เปิดเว็บเบราเซอร์ ซึ่งมีผู้เชี่ยวชาญหลายคนไม่เห็นด้วยเนื่องจากกังวลเรื่องความเป็นส่วนบุคคล ล่าสุด Lukasz Olejnik หนึ่งในผู้ไม่เห็นด้วยได้ออกมาสาธิตการขโมยข้อมูลเบราเซอร์และ QR Code โดยใช้เซ็นเซอร์ตรวจจับแสงสว่างโดยรอบอุปกรณ์

Credit: Strejman/ShutterStock

เซ็นเซอร์ตรวจจับแสงล้อมรอบ (Ambient Light Sensor) พบได้ในสมาร์ทโฟน แท็บเล็ต และโน๊ตบุ๊คแทบทุกรุ่นและถูกใช้งานมานับ 10 ปี เป็นเซ็นเซอร์พื้นฐานสำคัญที่ถูกใช้เพื่อตรวจจับแสงสว่างโดยรอบของอุปกรณ์ และทำการปรับความสว่างหน้าจอให้เหมาะสมกับเงื่อนไขต่างๆ โดยอัตโนมัติ สมาคม W3C เองก็ได้พัฒนา API พิเศษเพื่อช่วยให้เว็บไซต์สามารถติดต่อกับเซ็นเซอร์ดังกล่าวผ่านเว็บเบราเซอร์เพื่อให้นักพัฒนานำข้อมูลไปใช้ประโยชน์ต่อได้

ปัจจุบันนี้ ทั้ง Chrome และ Firefox ต่างรองรับการใช้ API เพื่อพูดคุยกับเซ็นเซอร์ตรวจจับแสงล้อมรอบเป็นที่เรียบร้อย และล่าสุด ในงานประชุมเรื่อง W3C Generic Sensor Specification ทางทีม Google ได้เสนอให้เว็บเบราเซอร์ไม่ต้องร้องขอคำอนุญาตเรื่องการใช้เซ็นเซอร์ 4 รายการจากผู้ใช้ ได้แก่ ตรวจจับแสงล้อมรอบ เซ็นเซอร์ตรวจจับการหมุน เซ็นเซอร์วัดค่าแม่เหล็ก และเซ็นเซอร์วัดอัตราเร่ง เนื่องจาก Google ต้องการใช้เว็บเบราเซอร์มีคุณสมบัติเทียบเท่ากับแอพพลิเคชันบนอุปกรณ์พกพาที่สามารถติดต่อกับเซ็นเซอร์เหล่านั้นเพื่อขอข้อมูลได้ทันทีโดยไม่ต้องขออนุญาต

ใช้ความต่างของแสงจากหน้าจอในการขโมยข้อมูล

อย่างไรก็ตาม หลายฝ่ายแสดงความไม่เห็นด้วยกับข้อเสนอนี้ รวมไปถึง Lukasz Olejnik และ Artur Janc ล่าสุดทั้ง 2 คนได้ออกมาพิสูจน์แล้วว่า เซ็นเซอร์ตรวจจับแสงล้อมรอบนั้น เก็บข้อมูลของแสงที่เปล่งออกมาจากหน้าจอของอุปกรณ์ด้วยเช่นกัน ซึ่งพวกเขาสามารถนำข้อมูลการเปล่งแสงนั้นมาขโมยข้อมูลของผู้ใช้ได้ วิธีก็ไม่ยาก เพียงแค่หลอกให้ผู้ใช้เข้าถึงเว็บไซต์ที่มีโค้ดสำหรับขโมยข้อมูลแฝงอยู่ เมื่อผู้ใช้เข้าถึงเว็บนั้น Olejnik และ Janc ก็จะทราบข้อมูล URL ที่ผู้ใช้คนดังกล่าวเคยเข้าถึงทันที โดยอาศัยความแตกต่างเพียงเล็กน้อยของข้อมูลแสงที่เปล่งออกมาจากหน้าจอ อันเกิดจากสีของลิงค์ URL ปกติ และลิงค์ URL ที่เคยเข้าถึงแล้ว (โหดไปไหม… )

สำหรับผู้ที่คิดว่าการเก็บข้อมูล URL ที่เคยเข้าถึงไปแล้วอาจไม่เลวร้ายมากนัก Lukasz Olejnik และ Artur Janc ได้สาธิตการใช้เซ็นเซอร์ตรวจจับแสงล้อมรอบในการขโมย QR Code ด้วยเช่นกัน แต่เพียงต้องใช้เวลานานสักนิดหนึ่ง

ล่าสุด ทั้ง Chrome และ Firefox ต่างบล็อกการเชื่อมต่อกับเซ็นเซอร์ตรวจจับแสงล้อมรอบเป็นที่เรียบร้อย เนื่องจาก API อยู่ระหว่างการทดลองและยังมีอีกหลายประเด็นที่ต้องทบทวน

Olejnik ระบุว่า การรับมือกับการโจมตีนี้ทำได้ง่ายมาก เพียงแค่ให้เว็บเบราเซอร์และ W3C ตั้งค่า Default ของความถี่ในการอ่านข้อมูลจากเซ็นเซอร์ใหม่ให้นานขึ้น รวมไปถึงจำกัดความแม่นยำของข้อมูลที่ได้รับจากเซ็นเซอร์ให้เหมาะสม

ที่มา: https://www.bleepingcomputer.com/news/security/ambient-light-sensors-can-be-used-to-steal-browser-data/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Webroot อัปเดตฐานข้อมูลมัลแวร์พลาด เกิด False Positive ขึ้นทั่วโลก

หลังจากที่ Webroot ระบบ Endpoint Protection ชื่อดังอัปเดตฐานข้อมูลมัลแวร์ล่าสุดเมื่อวานนี้ ปรากฎเกิดข้อผิดพลาดบางประการ ส่งผลให้ Webroot ตรวจจับแอพพลิเคชันและไฟล์ปกติหลายรายการเป็นมัลแวร์ ไม่ว่าจะเป็นไฟล์สำคัญของระบบปฏิบัติการ Windows หรือแม้แต่การเล่น Facebook เอง …

Interpol เผย พบ Server สำหรับควบคุม Malware กว่า 9,000 เครื่องใน Asean รวมไทยด้วย

Interpol ได้ออกมาเปิดเผยถึงความสำเร็จในการค้นพบ Command & Control (C&C) Server กว่า 8,800 เครื่อง พร้อม Web Site อีกกว่า 270 …