ทีมนักวิจัยจากมหาวิทยาลัย Wisconsin-Madison ได้ทำการพิสูจน์แนวคิดที่ว่า Chrome สามารถขโมยรหัสผ่านที่เป็น Plaintext จาก Source-code ของเว็บไซต์
โดยได้ทำการทดสอบป้อนข้อมูลในเว็บ พบว่าส่วนเสริมของ Chrome นั้นสามารถเข้าถึงข้อมูลที่กรอกลงไปได้ ซึ่งเว็บไซต์ส่วนใหญ่จะจัดเก็บข้อความเหล่านี้ในรูปแบบโค้ด HTML โดยรวมถึง Google และ Cloudflare ด้วย
ซึ่งปัญหานี้เกิดจากส่วนเสริมของเบราว์เซอร์ที่สามารถเข้าถึง DOM tree ซึ่งสามารถโหลดจากเว็บไซต์ได้ไม่จำกัด ทำให้สามารถเข้าถึงข้อมูลที่สำคัญ ๆ อย่างเช่น ช่องกรอกข้อมูลผู้ใช้
และเนื่องจากไม่มีมาตรการรักษาความปลอดภัยระหว่างส่วนเสริมกับส่วนประกอบของเว็บไซต์ จึงทำให้ส่วนเสริมสามารถเข้าถึงข้อมูลเหล่านี้ได้
อีกทั้งส่วนเสริมเหล่านี้ยังใช้ DOM API ในทางที่ผิด ในการแยกค่าข้อมูลที่ผู้ใช้ป้อนเข้าไป โดยสร้างความสับสนให้กับระบบความปลอดภัยต่อข้อมูลที่ผู้ใช้ป้อนลงไป จากนั้นก็ขโมยข้อมูลผ่านทางโปรแกม
โปรโตคอล Manifest V3 ที่ Googl นำมาใช้บน Chrome นั้น จะจำกัดการละเมิด API โดยจะห้ามไม่ให้ส่วนเสริมดึงโค้ดจากเครื่อง Server ที่อยู่ระยะไกลทำให้สามารถหลบเลี่ยงการตรวจจับและการป้องกันจากการใช้คำสั่ง eval ซึ่งนำไปสู่การสั่งรันโค้ดจากระยะไกลได้
อย่างไรก็ตามจากคำอธิบายของนักวิจัย Manifest V3 ไม่ได้กำหนดขอบเขตในเรื่องของความปลอดภัยระหว่างส่วนเสริมกับส่วนประกอบของเว็บไซต์ จึงทำให้ปัญหานี้ยังคงมีอยู่
ทางนักวิจัยได้ทำการทดสอบเว็บไซต์กว่า 10,000 เว็บ มีประมาณ 1,100 เว็บที่จัดเก็บข้อมูลใน HTML DOM ในรูปแบบ Plaintext และมีเว็บไซต์กว่า 7,300 เว็บที่มีปัญหาเสี่ยงต่อการเข้าถึง DOM API และการแยกค่าข้อมูลที่ผู้ใช้กรอก
จากเอกสารทางเทคนิค ที่ทางมหาวิทยาลัยเผยแพร่ อ้างว่ามีส่วนเสริม 17,300 รายการในเว็บ Chrome Store ที่มีการดึงข้อมูลที่สำคัญจากเว็บไซต์ ทั้งนี้รวมไปถึงตัวบล็อกโฆษณา และแอปช็อปปิ้งด้วย
ตัวอย่างเว็บที่พบปัญหาและมีในรายงาน ได้แก่
- gmail.com – รหัสผ่านข้อความธรรมดาในซอร์สโค้ด HTML
- cloudflare.com – รหัสผ่านข้อความธรรมดาในซอร์สโค้ด HTML
- facebook.com – อินพุตของผู้ใช้สามารถแยกได้ผ่าน DOM API
- citibank.com – ข้อมูลของผู้ใช้สามารถดึงข้อมูลผ่าน DOM API
- irs.gov – SSN จะปรากฏในรูปแบบข้อความธรรมดาบนซอร์สโค้ดของหน้าเว็บ
- capitalone.com – SSN จะปรากฏในรูปแบบข้อความธรรมดาบนซอร์สโค้ดของหน้าเว็บ
- usenix.org – SSN จะปรากฏในรูปแบบข้อความธรรมดาบนซอร์สโค้ดของหน้าเว็บ
- amazon.com – รายละเอียดบัตรเครดิต (รวมถึงรหัสรักษาความปลอดภัย) และรหัสไปรษณีย์จะปรากฏในรูปแบบข้อความธรรมดาในซอร์สโค้ดของหน้า
ในเอกสารยังได้กล่าวว่า มีส่วนขยายถึง 190 รายการ (ส่วนเสริมบางตัวมีการดาวน์โหลดไปแล้วกว่า 1 แสนครั้ง) ที่สามารถเข้าถึงข้อมูลรหัสผ่านได้โดยตรง และมีการจัดเก็บข้อมูลไว้ในตัวแปร นั่นหมายความว่า ส่วนเสริมบางตัวอาจพยายามใช้ประโยชน์จากตรงนี้ขโมยข้อมูลผู้ใช้หรือสร้างมาเพื่อใช้ช่องโหว่นี้ก็เป็นได้
เบื้องต้นทาง Bleeping Computer ได้ส่งข้อความเตือนไปยัง Amazon และ Google แล้วซึ่งทาง Amazon ที่ตอบกลับมาว่า
“Amazon เห็นความปลอดภัยของลูกค้าเป็นเรื่องที่สำคัญที่สุด และทางเราได้มีการดำเนินการหลายขั้นตอน เพื่อปกป้องข้อมูลของลูกค้าที่กรอกลงในเว็บ Amazon
เราสนับสนุนให้นักพัฒนาเบราว์เซอร์และส่วนเสริมเพิ่มเติมแนวทางที่ดีที่สุดเพื่อรักษาความปลอดภัยและปกป้องข้อมูลของลูกค้าที่ใช้งานบริการของตน” – โฆษก Amazon กล่าว
ส่วนทาง Google บอกว่ากำลังพิจารณาเรื่องนี้อยู่ และอ้างถึง บทความ Extensions Security FAQ โดยแจ้งว่าการเข้าถึงข้อมูลรหัสผ่านนั้นไม่เป็นปัญหาด้านความปลอดภัย ตราบใดที่ได้รับหรือมีการใช้สิทธิ์การเข้าถึงข้อมูลในส่วนนี้อย่างเหมาะสม
ที่มา: Bleeping Computer
