นักวิจัยด้านความปลอดภัยทางไซเบอร์ ICEBRG ได้พบว่า Chrome Extension ที่มีใน Chrome Web Store มีโค้ดที่เป็นอันตราย คาดว่าตอนนี้มีผู้ใช้ Extension 4 ตัวนี้ กว่า 5 แสนคน
Chrome Extension ทั้ง 4 ตัวนี้ เปิดช่องให้ Hacker แทรกโค้ด JavaScript ที่เป็นอันตรายลงในเว็บเพจ แต่ Hacker จะทำเช่นนี้ได้ก็ต่อเมื่อผู้ใช้คลิกเพื่อโหลดไซต์ หรือคลิกที่โฆษณา ที่ Hacker สร้างขึ้นมาเพื่อหลอกผู้ใช้
Extension ทั้ง 4 ตัว ได้แก่
- Change HTTP Request Header (ppmibgfeefcglejjlpeihfdimbkfbbnm)
- Nyoogle – Custom Logo for Google (ginfoagmgomhccdaclfbbbhfjgmphkph)
- Lite Bookmarks (mpneoicaochhlckfkackiigepakdgapj)
- Stickies – Chrome’s Post-it Notes (djffibmpaakodnbmcdemmmjmeolcmbae)
การทำงานของ JavaScript บน Chrome ที่อยู่ใน JSON เนื่องจาก Chrome มีระบบการป้องกันการรับ JSON จากภายนอก โดย Extension ซึ่งถ้าหากต้องการใช้งานจะต้องร้องขอผ่าน Content Security Policy (CSP- มาตรการความปลอดภัยเพื่อป้องกันการโจมตีแบบ Cross-site Scripting (XSS) และ Data Injection) เมื่อ Extension เปิดใช้ ‘unsafe-eval’ มันจะทำการเรียก และประมวลผล JSON จาก Sever ที่ควบคุมจากภายนอก การกระทำที่เกิดขึ้นนี้จะทำให้ Hacker สามารถฉีด และรันโค้ด JavaScript ได้ตามต้องการเมื่อ Server ได้รับการร้องขอ
ทาง ICEBRG ได้แจ้งปัญหาที่พบกับ National Cyber Security Centre of The Netherlands (NCSC-NL), ทีม United States Computer Emergency Readiness (US-CERT) และ ทีม Google Safe Browsing Operations เรียบร้อยแล้ว ในตอนนี้คาดว่ามีผู้ใช้กว่า 5 แสนคนที่กำลังใช้ Extension ทั้ง 4 ตัวนี้ แม้ว่าในตอนนี้จะมีการลบ Extension ออกจาก Chrome Web Store แล้ว 3 ตัว แต่ยังเหลือ Nyoogle อยู่ใน Chrome Web Store ซึ่งทาง ICEBRG แนะนำว่าให้ผู้ใช้ทำการตรวจสอบ Browser ของตนเอง และทำการลบ Extension ที่มีปัญหาออกไป
ที่มา : gigamon.com, Bleeping Computer ,Threat Post
