ພົບການໂຈມຕີແບບໃໝ່ “DoubleClickjacking” ສ່ຽງຂໍ້ມູນສ່ວນຕົວຮົ່ວໄຫຼ
ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພທາງໄຊເບີ ເຕືອນເຖິງການໂຈມຕີແບບໃໝ່ທີ່ເອີ້ນວ່າ “DoubleClickjacking” ຊຶ່ງຜູ້ໂຈມຕີສາມາດຫຼອກລໍ້ໃຫ້ຜູ້ໃຊ້ອະນຸມັດການກະທຳທີ່ມີຄວາມສ່ຽງສູງໄດ້ ພຽງແຕ່ການຄລິກ (Click) ສອງຄັ້ງ, ພ້ອມຍັງສາມາດຫຼີກລ້ຽງລະບົບປ້ອງກັນການໂຈມຕີຮູບແບບນີ້ທີ່ມີຢູ່ໃນປັດຈຸບັນ.
ການໂຈມຕີແບບ Clickjacking ຫຼື ທີ່ຮູ້ຈັກກັນໃນຊື່ UI Redressing ເປັນເຕັກນິກທີ່ຜູ້ບໍ່ຫວັງດີສ້າງໜ້າເວັບໄຊອັນຕະລາຍເພື່ອຫຼອກລວງຜູ້ໃຊ້ໃຫ້ຄລິກອົງປະກອບທີ່ເຊື່ອງຢູ່ ຫຼື ປອມແປງຂຶ້ນ ຊຶ່ງໃນກໍລະນີຂອງ DoubleClickjacking ຜູ້ໂຈມຕີຈະຊ້ອນ iframe ທີ່ສະແດງໜ້າເວັບໄຊທີ່ຖືກຕ້ອງໄວ້ກ້ອງໜ້າເວັບໄຊທີ່ພວກເຂົາສ້າງຂຶ້ນ ໂດຍປັບຕຳແໜ່ງປຸ່ມກົດ ແລະ ລິ້ງໃຫ້ຢູ່ຕໍ່ແໜ່ງດຽວກັນລະຫວ່າງໜ້າເວັບໄຊທັງສອງ.
ເມື່ອຜູ້ໃຊ້ຖືກລໍ້ລວງໃຫ້ຄລິກເທິງລິ້ງ ຫຼື ປຸ່ມກົດເທິງໜ້າເວັບໄຊຂອງຜູ້ໂຈມຕີ ເຊັ່ນ: ການເບິ່ງຮູບພາບໜ້າຮັກ ຫຼື ການຮັບລາງວັນ, ຄວາມຈິງແລ້ວການຄລິກນັ້ນເປັນການກະທຳເທິງ iframe ທີ່ເຊື່ອງຢູ່ ຊຶ່ງອາດຈະນຳໄປສູ່ຜົນກະທົບຮ້າຍແຮງ ເຊັ່ນ: ການອະນຸມັດໃຫ້ແອັບພິເຄຊັ່ນ OAuth ເຊື່ອມຕໍ່ກັບບັນຊີຜູ້ໃຊ້ ຫຼື ການຍອມຮັບຄຳຂໍ MFA (ການຢືນຢັນຕົວຕົນຫຼາຍຂັ້ນຕອນ) ໂດຍທີ່ຜູ້ໃຊ້ບໍ່ຮູ້ຕົວ.
ແນວທາງການປ້ອງກັນ:
ໃນໄລຍະຫຼາຍປີທີ່ຜ່ານມາ ນັກພັດທະນາເວັບບຣາວເຊີ (Web Browser) ໄດ້ແນະນຳຄຸນສົມບັດໃໝ່ໆ ທີ່ຊ່ວຍປ້ອງກັນການໂຈມຕີເຫຼົ່ານີ້ເປັນສ່ວນໃຫຍ່ ເຊັ່ນ: ການບໍ່ອະນຸຍາດໃຫ້ສົ່ງຄຸກກີ້ (Cookies) ຂ້າມເວັບໄຊ ຫຼື ການເພີ່ມຂໍ້ຈຳກັດດ້ານຄວາມປອດໄພ (ເຊັ່ນ: X-Frame-Options ຫຼື frame-ancestors) ເພື່ອຄວບຄຸມວ່າເວັບໄຊໃດສາມາດສະແດງຜົນຜ່ານ iframe ໄດ້.
ຢ່າງໃດກໍ່ຕາມ, ການໂຈມຕີຮູບແບບ DoubleClickjacking ຍັງເປັນໄພຄຸກຄາມທີ່ສາມາດຜ່ານມາດຕະການປ້ອງກັນເຫຼົ່ານີ້ໄດ້, ຜູ້ໃຊ້ງານອິນເຕີເນັດຄວນເພີ່ມຄວາມລະມັດລະວັງເປັນພິເສດ ບໍ່ຄລິກລິ້ງ ຫຼື ປຸ່ມກົດຈາກແຫຼ່ງທີ່ບໍ່ໜ້າເຊື່ອຖື ແລະ ຄວນກວດສອບຂໍ້ມູນກ່ອນການອະນຸຍາດຕ່າງໆ ເທິງເວັບໄຊ ຫຼື ແອັບພິເຄຊັ່ນທີ່ເຊື່ອມຕໍ່ກັບບັນຊີສ່ວນຕົວ.
ເອກະສານອ້າງອີງ:
- https://www.bleepingcomputer.com/news/security/new-doubleclickjacking-attack-exploits-double-clicks-to-hijack-accounts/?fbclid=IwY2xjawHpgJ1leHRuA2FlbQIxMAABHeniztRJlWsmpLYsVLTeIEm0x7CW0TpP04FKoeipF-c-L6xK8YmKoEIJCA_aem_jZgc9AuUd8qeFOZAnzO_vw
- https://www.facebook.com/story.php?story_fbid=921017880167821&id=100067788513462&mibextid=wwXIfr&rdid=zJX6iqBLxcrQukL1
ລາຍການຮູບ
