นักวิจัยด้านความปลอดภัยของ SquareX ได้ค้นพบและแจ้งเตือนเกี่ยวกับ Browsing Syncjacking การโจมตีรูปแบบใหม่ที่แฮกเกอร์สามารถเข้าควบคุมโปรไฟล์ Google ควบคุมเบราว์เซอร์และไปจนถึงการควบคุมอุปกรณ์ของผู้ใช้ผ่านส่วนขยายบน Chrome ที่ดูเหมือนไม่เป็นอันตรายใดๆ
SquareX เผยว่าการโจมตีแบบ Browsing Syncjacking จะมีกระบวนการทำงานอยู่ 3 ขั้นตอน ซึ่งจะเป็นการโจมตีแบบหลบซ่อนที่ต้องการเพียงสิทธิ์ขั้นต่ำ และแทบไม่มีการโต้ตอบกับผู้ใช้ที่ตกเป็นเหยื่อนอกจากการหลอกติดตั้งสิ่งที่ดูเหมือนเป็นส่วนขยายของ Chrome เลย
ขั้นตอนแรก
แฮกเกอร์จะหลอกให้ผู้ใช้ที่ตกเป็นเหยื่อติดตั้งส่วนขยายที่เป็นอันตรายโดยไม่ตั้งใจ จากนั้นส่วนขยายดังกล่าวจะทำการยืนยันตัวตนของผู้ใช้ในโปรไฟล์ Chrome ผ่าน Google Workspace ของแฮกเกอร์ เมื่อเสร็จสิ้นขั้นตอนแล้ว แฮกเกอร์จะสามารถควบคุมโปรไฟล์ในเบราว์เซอร์ของเหยื่อได้ เช่น การปิดการใช้งานการท่องเว็บแบบปลอดภัยและฟีเจอร์ด้านความปลอดภัยอื่นๆ
นอกจากนี้ยังสามารถเพิ่มระดับการโจมตีได้ด้วยการแก้ไขหน้าสนับสนุนของ Google เกี่ยวกับการซิงค์บัญชีเพื่อซิงค์โปรไฟล์ของเหยื่อเข้ากับแฮกเกอร์ โดยเมื่อซิงค์โปรไฟล์แล้ว แฮกเกอร์จะสามารถเข้าถึงข้อมูลที่จัดเก็บในเครื่อง ซึ่งจะรวมไปถึงรหัสผ่านและประวัติการเรียกดูได้บนอุปกรณ์ของแฮกเกอร์
ขั้นตอนที่สอง
เมื่อควบคุมโปรไฟล์ของเหยื่อได้แล้ว แฮกเกอร์จะแทนที่ไฟล์ที่ไฟล์ที่เป็นอันตรายลงไปในเครื่องของเหยื่อ ซึ่งมีโทเค็นการลงทะเบียนที่ออกแบบมาเพื่อเปลี่ยนเบราว์เซอร์ Chrome ของเหยื่อให้กลายเป็นเบราว์เซอร์ที่แฮกเกอร์สามารถควบคุมได้
ในขั้นตอนนี้แฮกเกอร์จะสามารถควบคุมเบราว์เซอร์ของเหยื่อได้อย่างสมบูรณ์ ทำให้เหยื่อถูกขโมยข้อมูล เปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ฟิชชิ่ง ปิดใช้งานฟีเจอร์ความปลอดภัย ติดตั้งส่วนขยายที่เป็นอันตรายอื่นๆ เพิ่มเติม การกดแป้นพิมพ์ แยกข้อมูลที่ละเอียดอ่อน หรือแม้แต่การเปิดใช้งานเว็บแคมและไมโครโฟนก็สามารถทำได้โดยที่เหยื่อไม่รู้สึกตัว
ขั้นตอนที่สาม
แฮกเกอร์สามารถใช้ Native Messaging API ของ Chrome เพื่อสร้างช่องทางการสื่อสารโดยตรงระหว่างส่วนขยายที่เป็นอันตรายกับระบบปฏิบัติการของเหยื่อได้โดยไม่ต้องมีการตรวจสอบสิทธิ์เพิ่มเติม ซึ่งทำให้สามารถเรียกดูไดเรกทอรี แก้ไขไฟล์ ติดตั้งมัลแวร์ รันคำสั่งต่างๆ ตามอำเภอใจ จับการกดแป้นพิมพ์ แยกข้อมูลที่ละเอียดอ่อน หรือแม้แต่เปิดใช้งานเว็บแคมและไมโครโฟน
การโจมตีดังกล่าวนี้จะไม่เหมือนกับการโจมตีส่วนขยายแบบครั้งก่อนๆ ที่เกี่ยวข้องกับการจัดการที่ซับซ้อน ซึ่งต้องการเพียงแค่การอนุญาตขั้นต่ำและขั้นตอนการจัดการเพียงเล็กน้อย โดยแทบไม่ต้องมีการโต้ตอบจากผู้ใช้เพื่อดำเนินการโจมตีนี้ เว้นซะแต่ว่าเหยื่อจะระแวดระวังเรื่องความปลอดภัยเป็นอย่างมากและมีความรู้ทางเทคนิคมากพอที่จะเข้าไปตั้งค่า Chrome เพื่อค้นหาป้ายกำกับเบราว์เซอร์ที่ได้รับการจัดการอยู่ตลอดเวลา ก็จะไม่พบสัญญาณที่มองเห็นเบราว์เซอร์ถูกแฮ็ก
อย่างไรก็ตาม ขณะนี้ได้มีการติดต่อกับ Google เกี่ยวกับการโจมตีรูปแบบใหม่นี้แล้ว และอยู่ในระหว่างรออัปเดตการดำเนินการ หากกังวลเรื่องความปลอดภัย สามารถติดต่อ hostatom ได้ตลอด 24/7
ที่มา : Infosecurity Magazine