Extension อันตรายบน Chrome สามารถขโมยรหัสผ่านแบบ plaintext จากเว็ปไซต์ได้

ทีมวิจัยจากมหาวิทยาลัย Wisconsin-Madison ได้อัปโหลด Extension ** เพื่อทำการทดสอบลงใน Chrome Web Store ซึ่งเป็น Extension ที่สามารถขโมยรหัสผ่านแบบ plaintext จาก source code ของเว็ปไซต์ได้

โดยจากการตรวจสอบช่องป้อนข้อความในเว็ปเบราว์เซอร์พบว่า รูปแบบการอนุญาตแบบ coarse-grained ที่สนับสนุน Extension ของ Chrome ละเมิดหลักการ least privilege และ complete mediation

นอกจากนี้ นักวิจัยพบว่ามีเว็ปไซต์หลายแห่งที่มีผู้เยี่ยมชมนับล้านราย รวมถึง portal ของ Google และ Cloudflare ที่เก็บรหัสผ่านในรูปแบบข้อความภายในโค้ด HTML บนหน้าเว็ปของตน ทำให้ Extension สามารถดึงข้อมูลเหล่านี้ได้

แหล่งที่มาของปัญหา

นักวิจัยอธิบายว่าปัญหานี้เกี่ยวกับ systemic practice ที่ให้ Extension ของเบราว์เซอร์สามารถเข้าถึง DOM tree ของเว็ปไซต์ที่โหลดโดยไม่มีข้อจำกัด ซึ่งช่วยให้เข้าถึงองค์ประกอบที่อาจมีความสำคัญ เช่น ช่องป้อนข้อมูลของผู้ใช้

เนื่องจากไม่มีขอบเขตด้านความปลอดภัยระหว่าง Extension กับองค์ประกอบของไซต์ Extension จึงสามารถเข้าถึงข้อมูลใน source code และสามารถดึงข้อมูลออกมาได้

นอกจากนี้ Extension อาจนำ DOM API มาใช้เพื่อดึงข้อมูลโดยตรงในขณะที่ผู้ใช้ป้อนข้อมูล โดยการ bypass การป้องกันข้อมูลที่มีความสำคัญ และขโมยข้อมูลออกมาได้

โปรโตคอล Manifest V3 ที่ Google Chrome แนะนำ และนำมาใช้โดยเบราว์เซอร์ส่วนใหญ่ในปีนี้ จะมีการจำกัดการใช้งาน API ที่ไม่เหมาะสม โดยห้าม Extension เรียกใช้งานโค้ดจากภายนอกที่จะช่วยในการหลีกเลี่ยงการตรวจจับ และป้องกันการใช้คำสั่ง eval ที่อาจนำไปสู่การเรียกใช้โค้ดได้ตามที่ต้องการ

อย่างไรก็ตาม นักวิจัยระบุว่า Manifest V3 ไม่ได้กำหนดขอบเขตด้านความปลอดภัยระหว่าง Extension และหน้าเว็ปไซต์ ดังนั้นปัญหาที่เกี่ยวข้องกับ content scripts ยังคงอยู่

การอัปโหลด PoC บน Web Store

เพื่อทดสอบกระบวนการตรวจสอบของ Google Web Store นักวิจัยตัดสินใจสร้าง Extension บน Chrome ที่สามารถโจมตีด้วยวิธีการ password-grabbing และพยายามอัปโหลดไปยังแพลตฟอร์ม

นักวิจัยได้สร้างส่วนขยายที่สวมรอยเป็น GPT-based assistant ซึ่งสามารถ :

1. แคปเจอร์ HTML source code เมื่อผู้ใช้พยายามเข้าสู่ระบบบนเพจโดยใช้ regex
2. ละเมิด CSS selectors เพื่อเลือกช่องป้อนข้อมูลเป้าหมาย และดึงเอาข้อมูลของผู้ใช้โดยใช้ฟังก์ชัน '.value'
3. ดำเนินการแทนที่องค์ประกอบเพื่อแทนที่ฟิลด์ที่ถูกเข้ารหัสด้วย JS ด้วยฟิลด์รหัสผ่านที่ไม่ปลอดภัย

Extension นี้ไม่มีโค้ดที่เป็นอันตรายอย่างเห็นได้ชัด ดังนั้นมันจึงสามารถหลีกเลี่ยงการตรวจสอบ และไม่เรียกใช้งานโค้ดจากแหล่งภายนอก (dynamic injection) ดังนั้นจึงสอดคล้องกับ Manifest V3

จากสาเหตนี้ส่งผลให้ Extension ผ่านการตรวจสอบ และได้รับการยอมรับบน Google Chrome Web Store ดังนั้นการตรวจสอบความปลอดภัยจึงไม่สามารถตรวจจับภัยคุกคามที่อาจเกิดขึ้นได้

ทีมงานได้ปฏิบัติตามมาตรฐานเพื่อให้แน่ใจว่าไม่มีข้อมูลจริงใด ๆ ถูกเก็บรวบรวม หรือนำไปใช้โดยที่ไม่เหมาะสม โดยปิดใช้งานเซิร์ฟเวอร์ในการรับข้อมูลในขณะที่ยังคงใช้งานเซิร์ฟเวอร์ที่เน้นการเข้าถึงองค์ประกอบเท่านั้น

นอกจากนี้ Extension ถูกตั้งค่าเป็น "ไม่เผยแพร่" ตลอดเวลาเพื่อไม่ให้มีการดาวน์โหลดจำนวนมาก และถูกลบออกจาก Google Chrome Web Store ทันทีหลังจากได้รับการอนุมัติ

ศักยภาพในการใช้ประโยชน์

การวัดผลภายหลังแสดงให้เห็นว่าจากเว็ปไซต์ 10,000 อันดับแรก (ตาม Tranco) ประมาณ 1,100 เว็ปไซต์เก็บรหัสผ่านของผู้ใช้ในรูปแบบ plaintext ภายใน HTML DOM

เว็ปไซต์อีก 7,300 แห่งจากชุดเดียวถือว่ามีความเสี่ยงต่อการเข้าถึง DOM API และการดึงค่าข้อมูลของผู้ใช้โดยตรง

เว็ปไซต์ที่มีการเข้าชมสูง และมีความเสี่ยงต่อการโจมตี (arxiv.

Google Chrome ลบ extensions อันตรายที่มีการติดตั้งไปแล้วกว่า 75 ล้านครั้งออกจากเว็บสโตร์

Google ได้ลบ extensions ที่เป็นอันตราย 32 รายการ ออกจาก Chrome Web Store ที่อาจมีการเปลี่ยนแปลงผลการค้นหา และแสดงสแปม หรือโฆษณาที่ไม่พึงประสงค์ รวมแล้วมียอดดาวน์โหลดสูงถึงกว่า 75 ล้านครั้ง (more…)

พบกลุ่ม Hacker ชาวเกาหลีเหนือใช้ Chrome extension ในการขโมย Gmail ของเป้าหมาย [EndUser]

สำนักงานปกป้องรัฐธรรมนูญแห่งสหพันธรัฐเยอรมัน (BfV) และหน่วยข่าวกรองแห่งชาติของสาธารณรัฐเกาหลี (NIS) แจ้งเตือนการพบการโจมตีของกลุ่ม Hacker ชาวเกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky โดยการใช้ Chrome extension และแอปพลิเคชันใน Android เพื่อขโมยข้อมูล Gmail ของเป้าหมาย

Kimsuky (หรือที่รู้จักกันในชื่อ Thallium, Velvet Chollima) เป็นกลุ่ม Hacker จากเกาหลีเหนือที่มักใช้วิธีการ Phishing ในการโจมตีทางไซเบอร์ ซึ่งมีเป้าหมายการโจมตีไปยังนักการทูต นักข่าว หน่วยงานรัฐบาล อาจารย์มหาวิทยาลัย และนักการเมือง โดยเป้าหมายการโจมตีส่วนใหญ่อยู่ในเกาหลีใต้ แต่ต่อมาได้มีการกำหนดเป้าหมายเพิ่มเติมไปยังหน่วยงานในสหรัฐอเมริกา และยุโรป

การขโมยข้อมูล Gmail
การโจมตีจะเริ่มจากการส่ง Phishing Email เพื่อหลอกล่อให้เยื่อทำการติดตั้ง Chrome extension ที่เป็นอันตราย ซึ่งจะติดตั้งในเบราว์เซอร์ที่ใช้ Chromium base เช่น Microsoft Edge หรือ Brave ซึ่ง extension จะมีชื่อว่า 'AF' สามารถดูได้ในรายการ extension เมื่อทำการใส่ "(chrome|edge| Brave)://extensions" ในแถบของเบราว์เซอร์

ซึ่งเมื่อเหยื่อทำการเข้า Gmail ผ่านเบราว์เซอร์ extension จะเปิดใช้งานโดยอัตโนมัติเพื่อขโมยเนื้อหาอีเมลของเหยื่อ โดย extension บนเบราว์เซอร์นี้ถูกสร้างขึ้นด้วย devtools API (developer tools API) เพื่อส่งข้อมูลที่ถูกขโมยไปยัง relay server ของ Hacker โดยไม่จำเป็นต้องหลบหลีกการตรวจสอบ หรือการยืนยันตัวตน ซึ่งได้พบค่า hash จากไฟล์ที่เป็นอันตรายในการโจมตีครั้งล่าสุด คือ

012D5FFE697E33D81B9E7447F4AA338B (manifest.

แจ้งเตือนส่วนเสริมเบราว์เซอร์ชื่อดัง The Great Suspender มีมัลแวร์ Google ถอดไม่ให้ดาวน์โหลดแล้ว

 

Google ได้ลบและบังคับให้ถอนการติดตั้ง Extension ที่มีชื่อว่า “The Great Suspender” ออกจาก Chrome web store โดย The Great Suspender เป็น Extension ที่นิยมอย่างมากและมีผู้ใช้มากกว่า 2,000,000 ราย หลังจากมีการตรวจพบว่า The Great Suspender มีโค้ดของมัลแวร์ฝังอยู่

Great Suspender เป็น Extension ใน Google Chrome ที่จะระงับแท็บที่ไม่ได้ใช้งานและยกเลิกการโหลดทรัพยากรเพื่อลดการใช้หน่วยความจำของเบราว์เซอร์ ซึ่งเมื่อผู้ใช้พร้อมที่จะใช้แท็บอีกครั้งผู้ใช้คลิกที่แท็บเพื่อใช้งานต่อได้

Google ได้ตรวจสอบ Extension และพบว่าผู้พัฒนา Extension ที่ได้ทำการซึ้อ โปรเจกต์ในเดือนมิถุนายน 2020 เพื่อนำไปพัฒนาต่อได้ทำการเพิ่มฟีเจอร์ที่ทำให้สามารถเรียกใช้โค้ดได้โดยผู้ใช้ไม่ได้อนุญาตจากเซิร์ฟเวอร์ระยะไกลรวมถึง Extension มีโค้ดในการติดตามผู้ใช้ทางออนไลน์และกระทำการแฝงโฆษณาไว้ ซึ่งฟีเจอร์ดังกล่าวอยู่ใน The Great Suspender เวอร์ชัน 7.1.8

ทั้งนี้สำหรับผู้ที่ต้องการใช้ Extension ที่ชื่อว่า The Great Suspender อย่างถูกต้องและเวอร์ชันดังเดิมสามารถเข้าไปดาวน์โหลดได้ที่ GitHub ซึ่งเป็นเวอร์ชันสุดท้ายของ Extension คือเวอร์ชัน 7.1.6 ได้ที่: github

ที่มา: bleepingcomputer, thehackernews

Cluster of 295 Chrome extensions caught hijacking Google and Bing search results

พบ Chrome Extension อันตราย แอบเพิ่มโฆษณาในผลการค้นหาจาก Google และ Bing

บริษัท AdGuard ผู้ให้บริการโซลูชันการบล็อกโฆษณาได้เปิดเผยถึงการค้นพบ Extension ที่เป็นอันตรายบน Chrome Extension จำนวน 295 Extension ซึ่งทั้งหมดนั้นอยู่บนออฟฟิเชียลของ Chrome Web Store มีผู้ติดตั้งรวมกันกว่า 80 ล้านราย

ผู้เชี่ยวชาญได้ทำการวิเคราะห์ 295 Extension ที่ตรวจพบนั้น Extension ทั้งหมดนั้นได้ทำการโหลดโค้ดที่เป็นอันตรายจาก fly-analytics.

Digmine Malware Spreading via Facebook Messenger

พบมัลแวร์ Digmine ซึ่งติดตั้ง Monero cryptocurrency miner และ Chrome extension ที่เป็นอันตรายโดยแพร่กระจายไปยังเหยื่อรายใหม่ผ่าน Facebook Messenger โดยเหยื่อจะได้รับไฟล์ชื่อ video_xxxx.