Tiện ích nổi tiếng Chrome SwitchyOmega có lỗ hổng bảo mật, làm thế nào để phòng tránh tiện ích bị thay đổi?
Gần đây, người dùng phản hồi rằng tiện ích chuyển đổi proxy phổ biến trên Chrome, SwitchyOmega, có thể tồn tại rủi ro bảo mật trong việc đánh cắp khóa riêng. Qua điều tra, phát hiện ra rằng vấn đề này đã xuất hiện từ năm ngoái, nhưng một số người dùng có thể không chú ý đến cảnh báo và tiếp tục sử dụng phiên bản tiện ích bị ô nhiễm, đối mặt với nguy cơ nghiêm trọng về rò rỉ khóa riêng và tài khoản bị chiếm đoạt. Bài viết này sẽ phân tích sự kiện sửa đổi tiện ích lần này và thảo luận cách phòng ngừa cũng như ứng phó với các rủi ro tương tự.
Tổng quan sự kiện
Sự kiện này ban đầu bắt nguồn từ một cuộc điều tra tấn công. Ngày 24 tháng 12 năm 2024, một nhân viên của công ty nhận được email lừa đảo, dẫn đến việc plugin trình duyệt mà họ phát hành bị cài đặt mã độc, cố gắng đánh cắp Cookie và mật khẩu của người dùng trình duyệt. Cuộc điều tra độc lập phát hiện rằng đã có hơn 30 plugin trong cửa hàng plugin của Google bị tấn công tương tự, bao gồm Proxy SwitchOmega (V3).
Email lừa đảo tuyên bố rằng tiện ích mở rộng trình duyệt của công ty đã vi phạm các điều khoản liên quan của Google và đe dọa rằng nếu không hành động ngay lập tức, plugin sẽ bị thu hồi. Do cảm giác cấp bách, nhân viên đã nhấp vào liên kết lừa đảo trong email và cấp quyền cho một ứng dụng OAuth có tên "Privacy Policy Extension". Khi kẻ tấn công có quyền truy cập vào ứng dụng OAuth, chúng có thể điều khiển từ xa tài khoản của nạn nhân mà không cần mật khẩu để sửa đổi dữ liệu ứng dụng.
Kẻ tấn công đã chiếm quyền kiểm soát tài khoản cửa hàng ứng dụng Chrome, tải lên phiên bản mở rộng mới có chứa mã độc, và tận dụng cơ chế cập nhật tự động của Chrome để khiến người dùng bị ảnh hưởng tự động cập nhật lên phiên bản độc hại mà không hay biết.
Các tiện ích độc hại bao gồm hai tệp, trong đó tệp worker.js sẽ kết nối với máy chủ chỉ huy và kiểm soát, tải xuống cấu hình và lưu trữ trong bộ nhớ cục bộ của Chrome, sau đó đăng ký trình lắng nghe, theo dõi các sự kiện từ content.js. Phiên bản độc hại trong vòng 31 giờ ra mắt, trình duyệt Chrome chạy tiện ích này sẽ tự động tải xuống và cài đặt mã độc hại.
Báo cáo điều tra chỉ ra rằng, các plugin bị tấn công này có tổng số lượt tải xuống trên cửa hàng Google vượt quá 500.000 lần, hơn 2,6 triệu thiết bị người dùng đã bị đánh cắp dữ liệu nhạy cảm, gây ra rủi ro an ninh lớn cho người dùng. Những ứng dụng mở rộng bị chỉnh sửa này đã có mặt trên cửa hàng ứng dụng lâu nhất lên đến 18 tháng, trong khi hầu hết người dùng bị ảnh hưởng gần như không thể nhận ra rằng dữ liệu của họ đã bị lộ.
Do chính sách cập nhật của cửa hàng Chrome dần dần không hỗ trợ các tiện ích mở rộng phiên bản V2, trong khi tiện ích mở rộng gốc SwitchyOmega là phiên bản V2, vì vậy nó cũng nằm trong phạm vi không được hỗ trợ. Phiên bản độc hại bị ô nhiễm là phiên bản V3, tài khoản nhà phát triển của nó khác với tài khoản của phiên bản V2 gốc. Do đó, không thể xác nhận phiên bản này có được phát hành bởi chính thức hay không, cũng như không thể xác định liệu tài khoản chính thức có bị hacker tấn công và tải lên phiên bản độc hại hay không, hay tác giả của phiên bản V3 đã có hành vi độc hại từ trước.
Các chuyên gia an ninh khuyên người dùng kiểm tra ID của các plugin đã cài đặt để xác nhận xem đó có phải là phiên bản chính thức hay không. Nếu phát hiện plugin đã cài đặt bị ảnh hưởng, nên ngay lập tức cập nhật lên phiên bản an toàn mới nhất hoặc gỡ bỏ nó để giảm thiểu rủi ro an ninh.
Làm thế nào để ngăn chặn việc sửa đổi plugin?
Các tiện ích mở rộng trình duyệt luôn là điểm yếu trong an ninh mạng. Để tránh các tiện ích bị sửa đổi hoặc tải xuống các tiện ích độc hại, người dùng cần thực hiện bảo vệ an toàn từ ba khía cạnh: cài đặt, sử dụng và quản lý.
Chỉ tải xuống các plugin từ kênh chính thức
Ưu tiên sử dụng cửa hàng chính thức của Chrome, đừng tin tưởng vào các liên kết tải xuống từ bên thứ ba trên mạng.
Tránh sử dụng các plugin "phiên bản bẻ khóa" chưa được xác minh, nhiều plugin đã bị sửa đổi có thể đã được cài đặt backdoor.
Cảnh giác với các yêu cầu quyền của plugin
Cẩn thận cấp quyền, một số plugin có thể yêu cầu quyền không cần thiết, chẳng hạn như truy cập lịch sử duyệt web, bảng t clipboard, v.v.
Gặp yêu cầu từ plugin để đọc thông tin nhạy cảm, hãy nâng cao cảnh giác.
Kiểm tra định kỳ các plugin đã cài đặt
Nhập chrome://extensions/ vào thanh địa chỉ Chrome để xem tất cả các tiện ích đã cài đặt.
Chú ý đến thời gian cập nhật gần đây của plugin, nếu plugin lâu không được cập nhật nhưng đột nhiên phát hành phiên bản mới, cần cảnh giác có thể bị thao túng.
Thường xuyên kiểm tra thông tin nhà phát triển của plugin, nếu plugin thay đổi nhà phát triển hoặc quyền hạn có sự thay đổi, cần phải nâng cao cảnh giác.
Sử dụng công cụ chuyên nghiệp để theo dõi dòng tiền, ngăn chặn tổn thất tài sản
Nếu nghi ngờ khóa riêng đã bị rò rỉ, có thể sử dụng công cụ chuyên nghiệp để theo dõi giao dịch trên chuỗi, kịp thời nắm bắt dòng chảy của tài chính.
Đối với các bên dự án, với tư cách là nhà phát triển và duy trì plugin, cần áp dụng các biện pháp an ninh nghiêm ngặt hơn để ngăn chặn các rủi ro như sửa đổi độc hại, tấn công chuỗi cung ứng, lạm dụng OAuth, v.v.
Kiểm soát truy cập OAuth
Giới hạn phạm vi ủy quyền, giám sát nhật ký OAuth, nếu plugin cần sử dụng OAuth để xác thực, hãy cố gắng sử dụng cơ chế mã thông báo ngắn hạn + mã thông báo làm mới, tránh lưu trữ mã thông báo quyền hạn cao lâu dài.
Tăng cường bảo mật tài khoản Chrome Web Store
Cửa hàng Chrome Web là kênh phát hành chính thức duy nhất cho các tiện ích, một khi tài khoản nhà phát triển bị xâm nhập, kẻ tấn công có thể chỉnh sửa tiện ích và đẩy nó đến tất cả thiết bị của người dùng. Do đó, cần phải tăng cường bảo mật tài khoản, chẳng hạn như kích hoạt 2FA, sử dụng quản lý quyền tối thiểu.
Kiểm toán định kỳ
Tính toàn vẹn của mã plugin là cốt lõi của việc ngăn chặn sự can thiệp của bên thứ ba, nên được khuyến nghị thực hiện kiểm toán an ninh định kỳ.
Giám sát plugin
Các dự án không chỉ cần đảm bảo phiên bản mới phát hành an toàn, mà còn cần theo dõi thời gian thực xem các plugin có bị chiếm đoạt hay không, nếu phát hiện vấn đề thì ngay lập tức gỡ bỏ phiên bản độc hại, phát hành thông báo an toàn và thông báo cho người dùng gỡ cài đặt phiên bản bị nhiễm.
Làm thế nào để xử lý các plugin đã bị cài mã độc?
Nếu phát hiện plugin đã bị mã độc xâm nhập, hoặc nghi ngờ plugin có thể tiềm ẩn rủi ro, khuyến nghị người dùng thực hiện các biện pháp sau:
Ngay lập tức gỡ bỏ plugin
Vào trang quản lý tiện ích Chrome (chrome://extensions/), tìm tiện ích bị ảnh hưởng để gỡ bỏ.
Xóa hoàn toàn dữ liệu của plugin để ngăn chặn mã độc còn sót lại tiếp tục hoạt động.
Thay đổi thông tin nhạy cảm có thể bị rò rỉ
Thay đổi tất cả mật khẩu đã lưu của trình duyệt, đặc biệt là những mật khẩu liên quan đến sàn giao dịch tiền điện tử và tài khoản ngân hàng.
Tạo ví mới và chuyển tài sản một cách an toàn (nếu plugin đã truy cập ví tiền điện tử).
Kiểm tra xem API Key có bị rò rỉ không, và ngay lập tức hủy bỏ API Key cũ, yêu cầu khóa mới.
Quét hệ thống, kiểm tra xem có cửa hậu hoặc phần mềm độc hại
Chạy phần mềm diệt virus hoặc công cụ chống phần mềm độc hại.
Kiểm tra tệp Hosts, đảm bảo rằng nó không bị sửa đổi thành địa chỉ máy chủ độc hại.
Kiểm tra công cụ tìm kiếm mặc định và trang chủ của trình duyệt, một số tiện ích độc hại có thể thay đổi những cài đặt này.
Giám sát xem tài khoản có hoạt động bất thường không
Kiểm tra lịch sử đăng nhập của sàn giao dịch và tài khoản ngân hàng, nếu phát hiện đăng nhập từ IP bất thường, cần ngay lập tức thay đổi mật khẩu và kích hoạt 2FA.
Kiểm tra lịch sử giao dịch của ví tiền điện tử, xác nhận xem có chuyển khoản nào bất thường không.
Kiểm tra xem tài khoản mạng xã hội có bị đánh cắp hay không, nếu có tin nhắn riêng hoặc bài đăng bất thường, cần ngay lập tức thay đổi mật khẩu.
Phản hồi cho chính thức, ngăn ngừa nhiều người dùng khác bị hại
Nếu phát hiện plugin bị can thiệp, bạn có thể liên hệ với nhóm phát triển gốc hoặc báo cáo cho chính thức của Chrome.
Có thể liên hệ với đội ngũ an ninh, phát đi cảnh báo rủi ro, nhắc nhở nhiều người dùng chú ý đến an toàn.
Mặc dù tiện ích mở rộng trình duyệt có thể nâng cao trải nghiệm người dùng, nhưng chúng cũng có thể trở thành kẽ hở cho các cuộc tấn công của hacker, mang lại rủi ro về rò rỉ dữ liệu và tổn thất tài sản. Do đó, người dùng cần giữ cảnh giác trong khi tận hưởng sự tiện lợi, và hình thành thói quen an toàn tốt, chẳng hạn như cẩn thận trong việc cài đặt và quản lý các tiện ích mở rộng, kiểm tra quyền hạn định kỳ, kịp thời cập nhật hoặc gỡ bỏ các tiện ích khả nghi, v.v. Đồng thời, các nhà phát triển và nền tảng cũng nên tăng cường các biện pháp bảo vệ an toàn, đảm bảo tính an toàn và tuân thủ của các tiện ích mở rộng. Chỉ có người dùng, nhà phát triển và nền tảng cùng nhau nỗ lực, nâng cao nhận thức về an toàn và thực hiện các biện pháp bảo vệ hiệu quả, mới có thể thực sự giảm thiểu rủi ro, bảo vệ an toàn dữ liệu và tài sản.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
5
Đăng lại
Chia sẻ
Bình luận
0/400
CoffeeNFTrader
· 07-15 14:39
Sáng ra nhìn cái này đã bị dọa rồi, nhanh chóng gỡ bỏ, tay run.
Plugin Chrome SwitchyOmega tiềm ẩn rủi ro an ninh, cách phòng ngừa nguy cơ bị xâm phạm
Tiện ích nổi tiếng Chrome SwitchyOmega có lỗ hổng bảo mật, làm thế nào để phòng tránh tiện ích bị thay đổi?
Gần đây, người dùng phản hồi rằng tiện ích chuyển đổi proxy phổ biến trên Chrome, SwitchyOmega, có thể tồn tại rủi ro bảo mật trong việc đánh cắp khóa riêng. Qua điều tra, phát hiện ra rằng vấn đề này đã xuất hiện từ năm ngoái, nhưng một số người dùng có thể không chú ý đến cảnh báo và tiếp tục sử dụng phiên bản tiện ích bị ô nhiễm, đối mặt với nguy cơ nghiêm trọng về rò rỉ khóa riêng và tài khoản bị chiếm đoạt. Bài viết này sẽ phân tích sự kiện sửa đổi tiện ích lần này và thảo luận cách phòng ngừa cũng như ứng phó với các rủi ro tương tự.
Tổng quan sự kiện
Sự kiện này ban đầu bắt nguồn từ một cuộc điều tra tấn công. Ngày 24 tháng 12 năm 2024, một nhân viên của công ty nhận được email lừa đảo, dẫn đến việc plugin trình duyệt mà họ phát hành bị cài đặt mã độc, cố gắng đánh cắp Cookie và mật khẩu của người dùng trình duyệt. Cuộc điều tra độc lập phát hiện rằng đã có hơn 30 plugin trong cửa hàng plugin của Google bị tấn công tương tự, bao gồm Proxy SwitchOmega (V3).
Email lừa đảo tuyên bố rằng tiện ích mở rộng trình duyệt của công ty đã vi phạm các điều khoản liên quan của Google và đe dọa rằng nếu không hành động ngay lập tức, plugin sẽ bị thu hồi. Do cảm giác cấp bách, nhân viên đã nhấp vào liên kết lừa đảo trong email và cấp quyền cho một ứng dụng OAuth có tên "Privacy Policy Extension". Khi kẻ tấn công có quyền truy cập vào ứng dụng OAuth, chúng có thể điều khiển từ xa tài khoản của nạn nhân mà không cần mật khẩu để sửa đổi dữ liệu ứng dụng.
Kẻ tấn công đã chiếm quyền kiểm soát tài khoản cửa hàng ứng dụng Chrome, tải lên phiên bản mở rộng mới có chứa mã độc, và tận dụng cơ chế cập nhật tự động của Chrome để khiến người dùng bị ảnh hưởng tự động cập nhật lên phiên bản độc hại mà không hay biết.
Các tiện ích độc hại bao gồm hai tệp, trong đó tệp worker.js sẽ kết nối với máy chủ chỉ huy và kiểm soát, tải xuống cấu hình và lưu trữ trong bộ nhớ cục bộ của Chrome, sau đó đăng ký trình lắng nghe, theo dõi các sự kiện từ content.js. Phiên bản độc hại trong vòng 31 giờ ra mắt, trình duyệt Chrome chạy tiện ích này sẽ tự động tải xuống và cài đặt mã độc hại.
Báo cáo điều tra chỉ ra rằng, các plugin bị tấn công này có tổng số lượt tải xuống trên cửa hàng Google vượt quá 500.000 lần, hơn 2,6 triệu thiết bị người dùng đã bị đánh cắp dữ liệu nhạy cảm, gây ra rủi ro an ninh lớn cho người dùng. Những ứng dụng mở rộng bị chỉnh sửa này đã có mặt trên cửa hàng ứng dụng lâu nhất lên đến 18 tháng, trong khi hầu hết người dùng bị ảnh hưởng gần như không thể nhận ra rằng dữ liệu của họ đã bị lộ.
Do chính sách cập nhật của cửa hàng Chrome dần dần không hỗ trợ các tiện ích mở rộng phiên bản V2, trong khi tiện ích mở rộng gốc SwitchyOmega là phiên bản V2, vì vậy nó cũng nằm trong phạm vi không được hỗ trợ. Phiên bản độc hại bị ô nhiễm là phiên bản V3, tài khoản nhà phát triển của nó khác với tài khoản của phiên bản V2 gốc. Do đó, không thể xác nhận phiên bản này có được phát hành bởi chính thức hay không, cũng như không thể xác định liệu tài khoản chính thức có bị hacker tấn công và tải lên phiên bản độc hại hay không, hay tác giả của phiên bản V3 đã có hành vi độc hại từ trước.
Các chuyên gia an ninh khuyên người dùng kiểm tra ID của các plugin đã cài đặt để xác nhận xem đó có phải là phiên bản chính thức hay không. Nếu phát hiện plugin đã cài đặt bị ảnh hưởng, nên ngay lập tức cập nhật lên phiên bản an toàn mới nhất hoặc gỡ bỏ nó để giảm thiểu rủi ro an ninh.
Làm thế nào để ngăn chặn việc sửa đổi plugin?
Các tiện ích mở rộng trình duyệt luôn là điểm yếu trong an ninh mạng. Để tránh các tiện ích bị sửa đổi hoặc tải xuống các tiện ích độc hại, người dùng cần thực hiện bảo vệ an toàn từ ba khía cạnh: cài đặt, sử dụng và quản lý.
Chỉ tải xuống các plugin từ kênh chính thức
Cảnh giác với các yêu cầu quyền của plugin
Kiểm tra định kỳ các plugin đã cài đặt
Sử dụng công cụ chuyên nghiệp để theo dõi dòng tiền, ngăn chặn tổn thất tài sản
Đối với các bên dự án, với tư cách là nhà phát triển và duy trì plugin, cần áp dụng các biện pháp an ninh nghiêm ngặt hơn để ngăn chặn các rủi ro như sửa đổi độc hại, tấn công chuỗi cung ứng, lạm dụng OAuth, v.v.
Kiểm soát truy cập OAuth
Tăng cường bảo mật tài khoản Chrome Web Store
Kiểm toán định kỳ
Giám sát plugin
Làm thế nào để xử lý các plugin đã bị cài mã độc?
Nếu phát hiện plugin đã bị mã độc xâm nhập, hoặc nghi ngờ plugin có thể tiềm ẩn rủi ro, khuyến nghị người dùng thực hiện các biện pháp sau:
Ngay lập tức gỡ bỏ plugin
Thay đổi thông tin nhạy cảm có thể bị rò rỉ
Quét hệ thống, kiểm tra xem có cửa hậu hoặc phần mềm độc hại
Giám sát xem tài khoản có hoạt động bất thường không
Phản hồi cho chính thức, ngăn ngừa nhiều người dùng khác bị hại
Mặc dù tiện ích mở rộng trình duyệt có thể nâng cao trải nghiệm người dùng, nhưng chúng cũng có thể trở thành kẽ hở cho các cuộc tấn công của hacker, mang lại rủi ro về rò rỉ dữ liệu và tổn thất tài sản. Do đó, người dùng cần giữ cảnh giác trong khi tận hưởng sự tiện lợi, và hình thành thói quen an toàn tốt, chẳng hạn như cẩn thận trong việc cài đặt và quản lý các tiện ích mở rộng, kiểm tra quyền hạn định kỳ, kịp thời cập nhật hoặc gỡ bỏ các tiện ích khả nghi, v.v. Đồng thời, các nhà phát triển và nền tảng cũng nên tăng cường các biện pháp bảo vệ an toàn, đảm bảo tính an toàn và tuân thủ của các tiện ích mở rộng. Chỉ có người dùng, nhà phát triển và nền tảng cùng nhau nỗ lực, nâng cao nhận thức về an toàn và thực hiện các biện pháp bảo vệ hiệu quả, mới có thể thực sự giảm thiểu rủi ro, bảo vệ an toàn dữ liệu và tài sản.