โหดไปไหม … ขโมยข้อมูลเบราเซอร์จากการตรวจจับแสงสว่างรอบอุปกรณ์

หลังจากที่ Google พยายามขอให้ยกเลิกการร้องขอคำอนุญาตในการใช้เซ็นเซอร์หลายรายการบนอุปกรณ์เมื่อผู้ใช้เปิดเว็บเบราเซอร์ ซึ่งมีผู้เชี่ยวชาญหลายคนไม่เห็นด้วยเนื่องจากกังวลเรื่องความเป็นส่วนบุคคล ล่าสุด Lukasz Olejnik หนึ่งในผู้ไม่เห็นด้วยได้ออกมาสาธิตการขโมยข้อมูลเบราเซอร์และ QR Code โดยใช้เซ็นเซอร์ตรวจจับแสงสว่างโดยรอบอุปกรณ์

เซ็นเซอร์ตรวจจับแสงล้อมรอบ (Ambient Light Sensor) พบได้ในสมาร์ทโฟน แท็บเล็ต และโน๊ตบุ๊คแทบทุกรุ่นและถูกใช้งานมานับ 10 ปี เป็นเซ็นเซอร์พื้นฐานสำคัญที่ถูกใช้เพื่อตรวจจับแสงสว่างโดยรอบของอุปกรณ์ และทำการปรับความสว่างหน้าจอให้เหมาะสมกับเงื่อนไขต่างๆ โดยอัตโนมัติ สมาคม W3C เองก็ได้พัฒนา API พิเศษเพื่อช่วยให้เว็บไซต์สามารถติดต่อกับเซ็นเซอร์ดังกล่าวผ่านเว็บเบราเซอร์เพื่อให้นักพัฒนานำข้อมูลไปใช้ประโยชน์ต่อได้

ปัจจุบันนี้ ทั้ง Chrome และ Firefox ต่างรองรับการใช้ API เพื่อพูดคุยกับเซ็นเซอร์ตรวจจับแสงล้อมรอบเป็นที่เรียบร้อย และล่าสุด ในงานประชุมเรื่อง W3C Generic Sensor Specification ทางทีม Google ได้เสนอให้เว็บเบราเซอร์ไม่ต้องร้องขอคำอนุญาตเรื่องการใช้เซ็นเซอร์ 4 รายการจากผู้ใช้ ได้แก่ ตรวจจับแสงล้อมรอบ เซ็นเซอร์ตรวจจับการหมุน เซ็นเซอร์วัดค่าแม่เหล็ก และเซ็นเซอร์วัดอัตราเร่ง เนื่องจาก Google ต้องการใช้เว็บเบราเซอร์มีคุณสมบัติเทียบเท่ากับแอพพลิเคชันบนอุปกรณ์พกพาที่สามารถติดต่อกับเซ็นเซอร์เหล่านั้นเพื่อขอข้อมูลได้ทันทีโดยไม่ต้องขออนุญาต

ใช้ความต่างของแสงจากหน้าจอในการขโมยข้อมูล

อย่างไรก็ตาม หลายฝ่ายแสดงความไม่เห็นด้วยกับข้อเสนอนี้ รวมไปถึง Lukasz Olejnik และ Artur Janc ล่าสุดทั้ง 2 คนได้ออกมาพิสูจน์แล้วว่า เซ็นเซอร์ตรวจจับแสงล้อมรอบนั้น เก็บข้อมูลของแสงที่เปล่งออกมาจากหน้าจอของอุปกรณ์ด้วยเช่นกัน ซึ่งพวกเขาสามารถนำข้อมูลการเปล่งแสงนั้นมาขโมยข้อมูลของผู้ใช้ได้ วิธีก็ไม่ยาก เพียงแค่หลอกให้ผู้ใช้เข้าถึงเว็บไซต์ที่มีโค้ดสำหรับขโมยข้อมูลแฝงอยู่ เมื่อผู้ใช้เข้าถึงเว็บนั้น Olejnik และ Janc ก็จะทราบข้อมูล URL ที่ผู้ใช้คนดังกล่าวเคยเข้าถึงทันที โดยอาศัยความแตกต่างเพียงเล็กน้อยของข้อมูลแสงที่เปล่งออกมาจากหน้าจอ อันเกิดจากสีของลิงค์ URL ปกติ และลิงค์ URL ที่เคยเข้าถึงแล้ว (โหดไปไหม… )

สำหรับผู้ที่คิดว่าการเก็บข้อมูล URL ที่เคยเข้าถึงไปแล้วอาจไม่เลวร้ายมากนัก Lukasz Olejnik และ Artur Janc ได้สาธิตการใช้เซ็นเซอร์ตรวจจับแสงล้อมรอบในการขโมย QR Code ด้วยเช่นกัน แต่เพียงต้องใช้เวลานานสักนิดหนึ่ง

ล่าสุด ทั้ง Chrome และ Firefox ต่างบล็อกการเชื่อมต่อกับเซ็นเซอร์ตรวจจับแสงล้อมรอบเป็นที่เรียบร้อย เนื่องจาก API อยู่ระหว่างการทดลองและยังมีอีกหลายประเด็นที่ต้องทบทวน

Olejnik ระบุว่า การรับมือกับการโจมตีนี้ทำได้ง่ายมาก เพียงแค่ให้เว็บเบราเซอร์และ W3C ตั้งค่า Default ของความถี่ในการอ่านข้อมูลจากเซ็นเซอร์ใหม่ให้นานขึ้น รวมไปถึงจำกัดความแม่นยำของข้อมูลที่ได้รับจากเซ็นเซอร์ให้เหมาะสม

ที่มา: https://www.bleepingcomputer.com/news/security/ambient-light-sensors-can-be-used-to-steal-browser-data/