Nguy hiểm trở lại: Tiện ích chuyển đổi proxy Chrome tiềm ẩn rủi ro, cảnh giác với nguy cơ lộ khóa riêng
Gần đây, tiện ích chuyển đổi proxy nổi tiếng trên trình duyệt Chrome là SwitchyOmega đã bị phát hiện có rủi ro đánh cắp khóa riêng, gây ra sự quan tâm rộng rãi từ người dùng. Qua điều tra, phát hiện rằng mối nguy hiểm này đã có dấu hiệu từ năm ngoái, nhưng nhiều người dùng có thể đã bỏ qua cảnh báo liên quan và tiếp tục sử dụng phiên bản tiện ích bị ô nhiễm, đối mặt với những mối đe dọa nghiêm trọng như bị chiếm đoạt tài khoản. Bài viết này sẽ phân tích sâu về sự cố sửa đổi tiện ích lần này và thảo luận về cách hiệu quả để phòng ngừa những rủi ro tương tự.
Tổng kết sự kiện
Sự kiện này ban đầu bắt nguồn từ một cuộc điều tra tấn công. Vào ngày 24 tháng 12 năm 2024, một nhân viên của một công ty đã gặp phải một cuộc tấn công email lừa đảo, dẫn đến việc plugin trình duyệt mà họ phát hành bị tiêm mã độc, cố gắng đánh cắp thông tin nhạy cảm của người dùng trình duyệt và tải lên máy chủ của kẻ tấn công. Cuộc điều tra độc lập tiếp theo cho thấy đã có hơn 30 plugin trong cửa hàng plugin của Google bị tấn công theo cách tương tự, trong đó có Proxy SwitchOmega (V3).
Kẻ tấn công đã lấy quyền kiểm soát tài khoản nhà phát triển thông qua email lừa đảo OAuth giả mạo, sau đó tải lên phiên bản mở rộng mới chứa mã độc. Sử dụng cơ chế cập nhật tự động của Chrome, người dùng bị ảnh hưởng đã tự động cập nhật lên phiên bản độc hại mà không hề hay biết.
Báo cáo điều tra chỉ ra rằng các plugin bị tấn công này đã có tổng số lượt tải xuống vượt quá 500.000 lần trên cửa hàng Google, và dữ liệu nhạy cảm trên hơn 2,6 triệu thiết bị người dùng có thể đã bị đánh cắp, tạo ra một rủi ro an ninh lớn cho người dùng. Các tiện ích mở rộng bị giả mạo này đã có mặt trên cửa hàng ứng dụng trong thời gian dài nhất lên đến 18 tháng, trong thời gian đó, các nạn nhân gần như không thể nhận thấy dữ liệu của họ đã bị rò rỉ.
Cần lưu ý rằng, do chiến lược cập nhật của cửa hàng Chrome dần không hỗ trợ các tiện ích phiên bản V2, trong khi phiên bản gốc của SwitchyOmega là phiên bản V2, vì vậy nó cũng nằm trong phạm vi không được hỗ trợ. Phiên bản độc hại bị ô nhiễm là phiên bản V3, tài khoản nhà phát triển của nó không giống với tài khoản của phiên bản gốc V2. Do đó, không thể xác nhận phiên bản này có phải được phát hành bởi chính thức hay không, cũng như không thể xác định liệu tài khoản chính thức đã bị tin tặc tấn công và tải lên phiên bản độc hại hay tác giả của phiên bản V3 vốn đã có hành vi độc hại.
Làm thế nào để ngăn chặn việc sửa đổi plugin?
Để tránh việc plugin bị can thiệp hoặc tải xuống các plugin độc hại, người dùng cần thực hiện bảo vệ an ninh từ ba khía cạnh: cài đặt, sử dụng và quản lý.
Chỉ tải xuống plugin từ kênh chính thức
Cảnh giác với yêu cầu quyền của các plugin
Kiểm tra định kỳ các plugin đã cài đặt
Sử dụng công cụ chuyên nghiệp để theo dõi dòng tiền, ngăn chặn tổn thất tài sản
Đối với các nhà phát triển và bảo trì plugin, cần thực hiện các biện pháp an ninh nghiêm ngặt hơn:
Tăng cường kiểm soát truy cập OAuth
Tăng cường bảo mật tài khoản cửa hàng ứng dụng
Thực hiện kiểm toán an ninh định kỳ
Giám sát thời gian thực xem plugin có bị chiếm đoạt hay không
Làm thế nào để xử lý các plugin đã bị cài đặt mã độc?
Nếu phát hiện plugin đã bị mã độc xâm nhập, hoặc nghi ngờ plugin có thể có rủi ro, khuyến nghị người dùng thực hiện các biện pháp sau:
Ngay lập tức xóa plugin
Thay đổi thông tin nhạy cảm có thể bị rò rỉ
Quét hệ thống, kiểm tra xem có cửa hậu hoặc phần mềm độc hại không
Giám sát xem tài khoản có hoạt động bất thường hay không
Gửi phản hồi đến chính thức, ngăn chặn nhiều người dùng khác bị thiệt hại.
Mặc dù các tiện ích mở rộng trình duyệt có thể nâng cao trải nghiệm người dùng, nhưng chúng cũng có thể trở thành điểm tấn công của tin tặc, gây ra rủi ro rò rỉ dữ liệu và mất mát tài sản. Do đó, người dùng khi tận hưởng sự tiện lợi cũng cần giữ cảnh giác và hình thành thói quen bảo mật tốt. Đồng thời, các nhà phát triển và bên nền tảng cũng nên củng cố các biện pháp bảo vệ an ninh, đảm bảo tính an toàn và tuân thủ của các tiện ích mở rộng. Chỉ khi tất cả các bên cùng nỗ lực, nâng cao nhận thức về an ninh và thực hiện các biện pháp bảo vệ hiệu quả, mới có thể thực sự giảm thiểu rủi ro và bảo vệ an toàn dữ liệu và tài sản.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
3
Chia sẻ
Bình luận
0/400
ChainWallflower
· 07-21 01:48
Chơi lâu như vậy mới biết plugin này có lỗ hổng.
Xem bản gốcTrả lời0
gaslight_gasfeez
· 07-21 01:45
Tôi đã đặt một cái giả, thế mà cũng ổn... lỗ nặng.
Rủi ro rò rỉ khóa riêng khi sử dụng tiện ích mở rộng Chrome SwitchyOmega. Cách phòng ngừa việc tiện ích bị can thiệp.
Nguy hiểm trở lại: Tiện ích chuyển đổi proxy Chrome tiềm ẩn rủi ro, cảnh giác với nguy cơ lộ khóa riêng
Gần đây, tiện ích chuyển đổi proxy nổi tiếng trên trình duyệt Chrome là SwitchyOmega đã bị phát hiện có rủi ro đánh cắp khóa riêng, gây ra sự quan tâm rộng rãi từ người dùng. Qua điều tra, phát hiện rằng mối nguy hiểm này đã có dấu hiệu từ năm ngoái, nhưng nhiều người dùng có thể đã bỏ qua cảnh báo liên quan và tiếp tục sử dụng phiên bản tiện ích bị ô nhiễm, đối mặt với những mối đe dọa nghiêm trọng như bị chiếm đoạt tài khoản. Bài viết này sẽ phân tích sâu về sự cố sửa đổi tiện ích lần này và thảo luận về cách hiệu quả để phòng ngừa những rủi ro tương tự.
Tổng kết sự kiện
Sự kiện này ban đầu bắt nguồn từ một cuộc điều tra tấn công. Vào ngày 24 tháng 12 năm 2024, một nhân viên của một công ty đã gặp phải một cuộc tấn công email lừa đảo, dẫn đến việc plugin trình duyệt mà họ phát hành bị tiêm mã độc, cố gắng đánh cắp thông tin nhạy cảm của người dùng trình duyệt và tải lên máy chủ của kẻ tấn công. Cuộc điều tra độc lập tiếp theo cho thấy đã có hơn 30 plugin trong cửa hàng plugin của Google bị tấn công theo cách tương tự, trong đó có Proxy SwitchOmega (V3).
Kẻ tấn công đã lấy quyền kiểm soát tài khoản nhà phát triển thông qua email lừa đảo OAuth giả mạo, sau đó tải lên phiên bản mở rộng mới chứa mã độc. Sử dụng cơ chế cập nhật tự động của Chrome, người dùng bị ảnh hưởng đã tự động cập nhật lên phiên bản độc hại mà không hề hay biết.
Báo cáo điều tra chỉ ra rằng các plugin bị tấn công này đã có tổng số lượt tải xuống vượt quá 500.000 lần trên cửa hàng Google, và dữ liệu nhạy cảm trên hơn 2,6 triệu thiết bị người dùng có thể đã bị đánh cắp, tạo ra một rủi ro an ninh lớn cho người dùng. Các tiện ích mở rộng bị giả mạo này đã có mặt trên cửa hàng ứng dụng trong thời gian dài nhất lên đến 18 tháng, trong thời gian đó, các nạn nhân gần như không thể nhận thấy dữ liệu của họ đã bị rò rỉ.
Cần lưu ý rằng, do chiến lược cập nhật của cửa hàng Chrome dần không hỗ trợ các tiện ích phiên bản V2, trong khi phiên bản gốc của SwitchyOmega là phiên bản V2, vì vậy nó cũng nằm trong phạm vi không được hỗ trợ. Phiên bản độc hại bị ô nhiễm là phiên bản V3, tài khoản nhà phát triển của nó không giống với tài khoản của phiên bản gốc V2. Do đó, không thể xác nhận phiên bản này có phải được phát hành bởi chính thức hay không, cũng như không thể xác định liệu tài khoản chính thức đã bị tin tặc tấn công và tải lên phiên bản độc hại hay tác giả của phiên bản V3 vốn đã có hành vi độc hại.
Làm thế nào để ngăn chặn việc sửa đổi plugin?
Để tránh việc plugin bị can thiệp hoặc tải xuống các plugin độc hại, người dùng cần thực hiện bảo vệ an ninh từ ba khía cạnh: cài đặt, sử dụng và quản lý.
Đối với các nhà phát triển và bảo trì plugin, cần thực hiện các biện pháp an ninh nghiêm ngặt hơn:
Làm thế nào để xử lý các plugin đã bị cài đặt mã độc?
Nếu phát hiện plugin đã bị mã độc xâm nhập, hoặc nghi ngờ plugin có thể có rủi ro, khuyến nghị người dùng thực hiện các biện pháp sau:
Mặc dù các tiện ích mở rộng trình duyệt có thể nâng cao trải nghiệm người dùng, nhưng chúng cũng có thể trở thành điểm tấn công của tin tặc, gây ra rủi ro rò rỉ dữ liệu và mất mát tài sản. Do đó, người dùng khi tận hưởng sự tiện lợi cũng cần giữ cảnh giác và hình thành thói quen bảo mật tốt. Đồng thời, các nhà phát triển và bên nền tảng cũng nên củng cố các biện pháp bảo vệ an ninh, đảm bảo tính an toàn và tuân thủ của các tiện ích mở rộng. Chỉ khi tất cả các bên cùng nỗ lực, nâng cao nhận thức về an ninh và thực hiện các biện pháp bảo vệ hiệu quả, mới có thể thực sự giảm thiểu rủi ro và bảo vệ an toàn dữ liệu và tài sản.