เตือนภัย! ช่องโหว่ใหม่ใน Password Manager ยอดนิยม แฮกเกอร์ขโมยรหัสผ่านได้ในคลิกเดียว
นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ร้ายแรงประเภท Clickjacking ในส่วนขยาย (Extension) ของโปรแกรมจัดการรหัสผ่านยอดนิยมบนเว็บเบราว์เซอร์หลายตัว ซึ่งอาจเปิดทางให้ผู้ไม่หวังดีสามารถขโมยข้อมูลสำคัญได้ทั้ง รหัสผ่าน, รหัสยืนยันตัวตนสองขั้นตอน (2FA), และข้อมูลบัตรเครดิต ของผู้ใช้ได้ภายใต้เงื่อนไขบางประการ
เทคนิคการโจมตีรูปแบบใหม่นี้ถูกเรียกว่า "DOM-Based Extension Clickjacking" โดยคุณ Marek Tóth นักวิจัยอิสระ ซึ่งได้นำเสนอการค้นพบนี้ในงานประชุมด้านความปลอดภัยระดับโลก DEF CON 33
คุณ Tóth กล่าวว่า "เพียงคลิกเดียวบนเว็บไซต์ที่แฮกเกอร์ควบคุม ก็อาจทำให้ผู้โจมตีขโมยข้อมูลของผู้ใช้ได้ทั้งหมด ไม่ว่าจะเป็นข้อมูลบัตรเครดิต, ข้อมูลส่วนตัว, และข้อมูลล็อกอิน รวมถึงรหัสผ่านแบบใช้ครั้งเดียว (TOTP) ด้วย เทคนิคใหม่นี้สามารถนำไปประยุกต์ใช้กับส่วนขยายประเภทอื่น ๆ ได้เช่นกัน"
Clickjacking คืออะไร และทำงานอย่างไร?
Clickjacking หรือที่เรียกว่า UI Redressing คือการโจมตีที่หลอกให้ผู้ใช้คลิกบนสิ่งที่ดูเหมือนไม่มีพิษมีภัยบนหน้าเว็บไซต์ แต่แท้จริงแล้วผู้ใช้กำลังคลิกบนปุ่มหรือองค์ประกอบที่แฮกเกอร์ซ่อนไว้โดยไม่รู้ตัว
สำหรับเทคนิคใหม่นี้ แฮกเกอร์จะสร้างเว็บไซต์ปลอมขึ้นมา โดยอาจมี Pop-up ที่ดูน่ารำคาญ เช่น หน้าจอให้ล็อกอิน หรือแบนเนอร์ขอความยินยอมใช้คุกกี้ (Cookie Consent) จากนั้นแฮกเกอร์จะนำ "ฟอร์มล็อกอินที่มองไม่เห็น" (ตั้งค่าความโปร่งใสเป็นศูนย์) ไปซ่อนไว้ใต้ปุ่มของ Pop-up นั้น
เมื่อผู้ใช้พยายามจะคลิกเพื่อปิด Pop-up ที่น่ารำคาญนั้น ที่จริงแล้วพวกเขากำลังคลิกบนฟอร์มที่มองไม่เห็นพอดี ส่วนขยาย Password Manager จะเข้าใจว่าผู้ใช้ต้องการกรอกรหัสผ่าน จึงทำการ Auto-fill หรือเติมข้อมูลล็อกอินให้โดยอัตโนมัติ จากนั้นสคริปต์ของแฮกเกอร์ก็จะทำการขโมยข้อมูลที่ถูกเติมลงไปและส่งกลับไปยังเซิร์ฟเวอร์ของตนเองทันที
Password Manager ใดบ้างที่ได้รับผลกระทบ?
งานวิจัยนี้ได้ทดสอบกับส่วนขยาย Password Manager ยอดนิยม 11 ตัว ซึ่งรวมถึงแบรนด์ดังอย่าง 1Password, LastPass, Bitwarden, และ iCloud Passwords ของ Apple ซึ่งทั้งหมดนี้มีผู้ใช้งานรวมกันหลายล้านคน และพบว่าทุกตัวมีความเสี่ยงต่อการโจมตีแบบ DOM-based extension clickjacking
ที่น่ากังวลคือ Password Manager ส่วนใหญ่ (10 จาก 11 ตัว) จะกรอกข้อมูลล็อกอินให้ไม่เฉพาะกับโดเมนหลัก แต่รวมถึงโดเมนย่อย (subdomain) ทั้งหมดด้วย ทำให้แฮกเกอร์สามารถใช้ช่องโหว่อื่น ๆ เช่น XSS เพื่อขโมยรหัสผ่านที่ถูกบันทึกไว้ได้ง่ายขึ้น
ณ วันที่รายงาน มีผู้ให้บริการ 6 รายที่ยังไม่ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว ได้แก่
1Password Password Manager 8.11.4.27
Apple iCloud Passwords 3.1.25
Bitwarden Password Manager 2025.7.0
Enpass 6.11.6
LastPass 4.146.3
LogMeOnce 7.12.4
ขณะที่ Bitwarden, Enpass, และ iCloud Passwords กำลังดำเนินการแก้ไข ส่วน 1Password และ LastPass ได้รับทราบข้อมูลแล้ว
ผู้ใช้ควรป้องกันตัวเองอย่างไร?
จนกว่าจะมีการออกอัปเดตแก้ไขอย่างเป็นทางการ ขอแนะนำให้ผู้ใช้ปฏิบัติตามขั้นตอนต่อไปนี้เพื่อความปลอดภัย:
ปิดฟังก์ชันเติมรหัสผ่านอัตโนมัติ (Auto-fill): เข้าไปที่การตั้งค่าของ Password Manager และปิดใช้งานคุณสมบัตินี้ชั่วคราว
ใช้การคัดลอกและวาง (Copy/Paste): แทนที่จะให้โปรแกรมกรอกให้โดยอัตโนมัติ ให้ใช้วิธีคัดลอกรหัสผ่านจากโปรแกรมแล้วนำไปวางในช่องล็อกอินด้วยตนเอง
(สำหรับผู้ใช้เบราว์เซอร์กลุ่ม Chromium เช่น Chrome, Edge, Brave): ไปที่หน้าการตั้งค่าส่วนขยาย (Extension Settings) และกำหนดค่า "การเข้าถึงเว็บไซต์" (Site access) ของ Password Manager ให้เป็น "เมื่อคลิก" (On click) การตั้งค่านี้จะทำให้ส่วนขยายทำงานก็ต่อเมื่อคุณคลิกที่ไอคอนของมันเท่านั้น เป็นการป้องกันการทำงานอัตโนมัติบนหน้าเว็บที่ไม่น่าไว้วางใจ
การป้องกันไว้ก่อนเป็นวิธีที่ดีที่สุดในการปกป้องข้อมูลอันมีค่าของคุณจากภัยคุกคามทางไซเบอร์รูปแบบใหม่ ๆ ที่เกิดขึ้นตลอดเวลา
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก