ช่องโหว่ด้านความปลอดภัยในเว็บเบราว์เซอร์ Opera ที่ได้รับการแก้ไขแล้ว อาจทำให้ extension ที่เป็นอันตรายสามารถเข้าถึง API ส่วนตัวได้โดยไม่ได้รับอนุญาต

Guardio Labs ระบุว่า การโจมตีนี้มีชื่อรหัสว่า CrossBarking โดยการโจมตีดังกล่าวจะทำให้สามารถดำเนินการต่าง ๆ อย่างเช่น การจับภาพหน้าจอ, การแก้ไขการตั้งค่าเบราว์เซอร์ และการขโมยบัญชีผู้ใช้ได้

เพื่อแสดงให้เห็นถึงช่องโหว่นี้ บริษัทระบุว่าได้ทำการทดลองเผยแพร่ extension ของเว็บเบราว์เซอร์ที่ดูเหมือนไม่มีอันตรายไปยัง Chrome Web Store ซึ่งเมื่อถูกติดตั้งใน Opera แล้วก็จะสามารถใช้ช่องโหว่ดังกล่าวได้ ทำให้เป็นตัวอย่างหนึ่งของการโจมตีแบบ cross-browser-store

Nati Tal หัวหน้า Guardio Labs ได้แชร์รายงานนี้ให้กับ The Hacker News ว่า “กรณีศึกษานี้ไม่เพียงแต่เน้นย้ำให้เห็นถึงความขัดแย้งที่เกิดขึ้นระหว่างประสิทธิภาพการทำงานกับความปลอดภัยเท่านั้น แต่ยังเปิดเผยให้เห็นถึงกลยุทธ์ที่ผู้โจมตียุคใหม่ใช้ ซึ่งมักแฝงตัวอยู่ใต้เรดาร์การตรวจจับ”

ช่องโหว่นี้ได้รับการแก้ไขโดย Opera ไปแล้วเมื่อวันที่ 24 กันยายน 2024 หลังจากมีการเปิดเผยข้อมูล อย่างไรก็ตาม เหตุการณ์นี้ไม่ใช่ครั้งแรกที่พบช่องโหว่ด้านความปลอดภัยในเว็บเบราว์เซอร์นี้

เมื่อต้นเดือนมกราคมที่ผ่านมา มีการเปิดเผยรายละเอียดของช่องโหว่ที่มีชื่อว่า MyFlaw ซึ่งใช้ประโยชน์จากฟีเจอร์ที่มีชื่อว่า My Flow เพื่อเรียกใช้ไฟล์ใด ๆ ก็ได้ บนระบบปฏิบัติการที่ใช้งานอยู่

เทคนิคการโจมตีล่าสุดนี้อาศัยข้อเท็จจริงที่ว่าโดเมนย่อยหลายแห่งที่เป็นของ Opera สามารถถูกเข้าถึงได้จากภายนอก ซึ่งจะมีสิทธิ์ในการเข้าถึง API ส่วนตัวที่ฝังอยู่ในเบราว์เซอร์ โดเมนเหล่านี้ถูกใช้เพื่อรองรับฟีเจอร์เฉพาะของ Opera เช่น Opera Wallet, Pinboard และอื่นๆ รวมถึงโดเมนที่ใช้ในการพัฒนาภายในด้วย

รายชื่อของบางโดเมน ซึ่งรวมถึงโดเมนของ third-party บางส่วน มีดังต่อไปนี้

crypto-corner.