เมื่อวันที่ 5 กันยายน ที่ผ่านมามีการเปิดตัว Chrome 61 พร้อมฟีเจอร์ WebUSB API เพื่อให้เว็บแอพสามารถเข้าถึงอุปกรณ์ USB ของผู้ใช้ได้ ดังนั้นเว็บจึงสามารถเข้าใช้งานฟีเจอร์ของฮาร์ดแวร์อย่างคีย์บอร์ด, เมาส์, เครื่องพิมพ์ หรือเกมแพด ได้เมื่อผู้ใช้อนุญาต แต่มีบางอุปกรณ์ที่ WebUSB API ไม่สนับสนุนการใช้งาน เช่น webcams , HIDs หรือ อุปกรณ์จัดเก็บข้อมูลขนาดใหญ่
นักวิจัยด้านความปลอดภัยได้ทำการทดสอบ Proof of Concept (PoC) เพื่อแสดงให้เห็นถึงปัญหาที่เกิดจากการใช้ WebUSB API โดยการใช้ WebUSB เพื่อเข้าถึงโทรศัพท์ Android ที่ผู้ใช้ยอมให้เชื่อมต่อ เมื่อผู้ใช้รับคำขอจากนั้นหน้าเว็บจะใช้ WebUSB เพื่อดึงข้อมูลรูปภาพทั้งหมดจากโฟลเดอร์กล้องถ่ายรูป นอกจากจะสามารถขโมยไฟล์ที่อ่านได้ทั้งหมดจากระบบ ยังสามารถติดตั้ง APK เพื่อเข้าถึงกล้องและไมโครโฟนเพื่อสอดแนมผู้ใช้และอาจทำการยกระดับสิทธิเป็นสิทธิสูงสุดของระบบ
ดังนั้นผู้ใช้ไม่ควรให้เว็บไซต์ที่ไม่น่าเชื่อถือเข้าถึงอุปกรณ์ USB ที่มีข้อมูลที่สำคัญ ซึ่งอาจส่งผลให้อุปกรณ์มีความเสี่ยงต่อการถูกโจมตีได้
ที่มา : mwrinfosecurity
You must be logged in to post a comment.