นี่ก็เริ่มชิน ! พบช่องโหว่บนส่วนเสริม Chrome ยอดนิยมหลายตัว ทำข้อมูลผู้ใช้งาน และ Keys ต่าง ๆ รั่วไหล

ถึงแม้เว็บเบราว์เซอร์อย่าง Chrome นั้นจะมีความนิยมที่สูง แต่ในเวลาเดียวกันก็เป็นเว็บเบราว์เซอร์ที่มีข่าวเรื่องช่องโหว่ความปลอดภัย ไม่ว่าจะเป็นบนตัวเว็บเบราว์เซอร์เอง หรือ ตัวส่วนเสริม (Extension) ต่าง ๆ ออกมาเป็นประจำจนผู้ใช้งานหลายรายชินชา และสำหรับข่าวนี้ก็เป็นอีกกรณีหนึ่งของช่องโหว่นี้

จากรายงานโดยเว็บไซต์ The Hacker news ได้กล่าวถึงการตรวจพบช่องโหว่ของส่วนเสริมบน Chrome หลายตัวที่สามารถนำไปสู่การรั่วไหลของข้อมูลผู้ใช้งาน อันเนื่องมาจากการใช้วิธีการส่งข้อมูลทาง HTTP ซึ่งเป็นวิธีการส่งข้อมูลที่ไม่ปลอดภัย เพราะอาจถูกแฮกเกอร์ใช้วิธีการดักจับข้อมูลโดยการแทรกแซงเป็นตัวกลางระหว่างการส่งข้อมูลจากต้นทางสู่ปลายทาง (Adversary-in-the-Middle หรือ AitM) ได้ โดยการตรวจพบดังกล่าวนั้นเป็นผลงานของทีม Security Technology and Response ซึ่งเป็นทีมวิจัยด้านภัยไซเบอร์ของทางบริษัท Symantec ผู้พัฒนาเครื่องมือแอนตี้ไวรัสชื่อดัง โดยส่วนเสริมที่ได้รับผลกระทบนั้นมีดังนี้

• SEMRush Rank (extension ID: idbhoeaiokcojcgappfigpifhpkjgmab) และ PI Rank (ID: ccgdboldgdlngcgfdolahmiilojmfndl) ซึ่งมีการเรียกข้อมูลจาก URL "rank.trellian[.]com" ผ่านโปรโตคอล HTTP ที่ไม่มีการรักษาความปลอดภัยระหว่างการส่ง
• Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh) ส่วนเสริมตัวนี้จะมีการติดต่อ (Call) ไปยัง URL "browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com" เมื่อผู้ใช้งานทำการถอนการติดตั้ง ผ่านทางโปรโตคอล HTTP
• MSN New Tab (ID: lklfbkdigihjaaeamncibechhgalldgl) และ MSN Homepage, Bing Search & News (ID: midiombanaceofjhodpdibeppmnamfcj) มีการส่งข้อมูลหมายเลขจำเพาะของเครื่อง (Unique Machine Identifier) และข้อมูลอื่น ๆ ไปยัง "g.ceipmsn[.]com" ผ่านทางโปรโตคอล HTTP
• DualSafe Password Manager & Digital Vault (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc) มีการตรวจพบว่าใช้การสร้าง URL Request ในรูปแบบ HTTP ไปยัง URL "stats.itopupdate[.]com" พร้อมกับมีการส่งข้อมูลรุ่นของส่วนเสริม, ภาษาที่ผู้ใช้งานใช้บนเว็บเบราว์เซอร์, และรูปแบบการใช้งาน อีกด้วย

นอกจากนั้นยังมีการตรวจพบช่องโหว่ของการใช้งานคีย์ (Keys) ในรูปแบบต่าง ๆ บนส่วนเสริมซึ่งถูกฝังอยู่ใน JavaScript ของตัวส่วนเสริมด้วยวิธีการ Hard-Coding (การฝังค่าคงที่ลงไปในตัวโค้ด) ไม่ว่าจะเป็น API, Secrets, และ Tokens ทำให้แฮกเกอร์สามารถยิง Request อันตรายมายังส่วนเสริมได้ ซึ่งส่วนเสริมที่มีปัญหานั้นมีดังนี้

• Online Security & Privacy extension (ID: gomekmidlodglbbmalcneegieacbdmki), AVG Online Security (ID: nbmoafcmbajniiapeidgficgifbfmjfo), Speed Dial [FVD] - New Tab Page, 3D, Sync (ID: llaficoajjainaijghjlofdfmbjpebpa), และ SellerSprite - Amazon Research Tool (ID: lnbmbgocenenhhhdojdielgnmeflbnfb) ซึ่งมีการทำ Hard-Coding ตัวกุญแจ API ลับ (API Secret) ของ Google Analytics 4 (GA4) เอาไว้ ทำให้แฮกเกอร์สามารถใช้โจมตีปลายทางที่มีการฝังตัว GA4 (Endpoints) เพื่อให้การแสดงการวัดผลผิดพลาดได้
• Equatio – Math Made Digital (ID: hjngolefdpdnooamgdldlkjgmdcmcjnc) มีการฝังกุญแจ API ของ Microsoft Azure ไว้ภายในเพื่อใช้งานในการจดจำเสียงผู้พูด (Speech Recognition) ซึ่งแฮกเกอร์สามารถใช้งานช่องโหว่นี้ในการแกล้งให้ผู้พัฒนา (Developer) ต้องจ่ายค่าใช้บริการเกินจริง หรือ ทำให้สิทธิ์ในการใช้งาน (Usage Credits) ลดลงได้
• Awesome Screen Recorder & Screenshot (ID: nlipoenfbbikpbjkfpfillcgkoblgpmj) และ Scrolling Screenshot Tool & Screen Capture (ID: mfpiaehgjbbfednooihadalhehabhcjo) มีช่องโหว่ให้แฮกเกอร์สามารถเข้าถึงกุญแจเข้าใช้งาน (Access Key) สำหรับการใช้งาน AWS (Amazon Web Services) ของผู้พัฒนา ในการอัปโหลดรูปภาพตะกร้า S3 ที่ผู้พัฒนาใช้งานงานอยู่
• Microsoft Editor – Spelling & Grammar Checker (ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa) มีช่องโหว่ให้แฮกเกอร์เข้าถึงกุญแจ Telemetry ที่มีชื่อว่า "StatsApiKey" ซึ่งใช้งานในการเก็บข้อมูลผู้ใช้งาน (User Log) เพื่อจุดประสงค์ในการวิเคราะห์ได้
• Antidote Connector (ID: lmbopdiikkamfphhgcckcjhojnokgfeo) พบว่ามีการใช้งาน Library แบบ 3rd Party ที่มีชื่อว่า InboxSDK ซึ่งตัว Library นั้นมีการทำ Hard-Coding ตัวรหัสผ่านและข้อมูลสำคัญต่าง ๆ รวมทั้งกุญแจ API ก็บรรจุรวมอยู่ในนี้ด้วย
• Watch2Gether (ID: cimpffimgeipdhnhjohpbehjkcdpjolg) มีช่องโหว่ให้แฮกเกอร์เข้าถึงตัวกุญแจ API ของ Tenor GIF ได้
• Trust Wallet (ID: egjidjbpglichdcondbcbdnbeeppgdph) มีช่องโหว่ให้แฮกเกอร์เข้าถึงกุญแจ API ที่เชื่อมต่อกับ Ramp Network ซึ่งเป็นแพลตฟอร์มแบบ Web3 ที่เป็นเครื่องมือสนับสนุนให้ผู้พัฒนาส่วนเสริมสามารถเปิดบริการซื้อขายเหรียญคริปโตเคอร์เรนซีโดยตรงผ่านแอปพลิเคชันได้
• TravelArrow – Your Virtual Travel Agent (ID: coplmfnphahpcknbchcehdikbdieognn) มีช่องโหว่ให้แฮกเกอร์สามารถเข้าถึงกุญแจ API ที่ใช้งานสำหรับการเก็บข้อมูลสถานที่ใช้งาน (Geolocation) เมื่อมีการร้องขอข้อมูล (Queries) จาก "ip-api[.]com" ได้