Vấn đề an toàn của tiện ích mở rộng Chrome tái diễn: SwitchyOmega bị chỉ trích có rủi ro đánh cắp Khóa riêng
Gần đây, có người dùng phản ánh rằng tiện ích chuyển đổi proxy nổi tiếng trên trình duyệt Chrome, SwitchyOmega, có thể tồn tại nguy cơ đánh cắp Khóa riêng. Qua điều tra, phát hiện rằng vấn đề bảo mật này không phải lần đầu tiên xảy ra, mà đã có cảnh báo liên quan từ năm ngoái. Tuy nhiên, một số người dùng có thể đã không chú ý đến những cảnh báo này và tiếp tục sử dụng phiên bản tiện ích có rủi ro, do đó phải đối mặt với các mối đe dọa nghiêm trọng như rò rỉ Khóa riêng và tài khoản bị chiếm đoạt. Bài viết này sẽ phân tích chi tiết tình trạng tiện ích bị thay đổi và thảo luận về cách phòng ngừa việc thay đổi tiện ích cũng như ứng phó với các tiện ích độc hại.
Tổng quan sự kiện
Vụ việc lần đầu tiên bắt nguồn từ một cuộc điều tra tấn công vào ngày 24 tháng 12 năm 2024. Sau khi nhận được email lừa đảo, một nhân viên của một công ty đã xuất bản một trình cắm trình duyệt được cấy mã độc để cố gắng đánh cắp cookie và mật khẩu của trình duyệt của người dùng và tải nó lên máy chủ của kẻ tấn công. Theo một cuộc điều tra của một công ty bảo mật chuyên nghiệp, hơn 30 plug-in trong Google Add-ons Store đã bị tấn công tương tự, bao gồm cả Proxy SwitchOmega (V3).
Email lừa đảo tuyên bố rằng chương trình mở rộng trình duyệt do công ty phát hành đã vi phạm các điều khoản liên quan của Google và đe dọa nếu không hành động ngay lập tức, plugin sẽ bị gỡ bỏ. Do cảm giác cấp bách, nhân viên đó đã nhấp vào liên kết lừa đảo trong email và đã cấp quyền cho một ứng dụng OAuth có tên "Privacy Policy Extension". Rủi ro chính của OAuth là, một khi kẻ tấn công có được quyền truy cập vào ứng dụng OAuth, chúng có thể điều khiển từ xa tài khoản của nạn nhân mà không cần mật khẩu để thay đổi dữ liệu ứng dụng.
Kẻ tấn công đã chiếm quyền kiểm soát tài khoản trên cửa hàng ứng dụng Chrome, tải lên phiên bản mở rộng mới có mã độc và lợi dụng cơ chế cập nhật tự động của Chrome, khiến người dùng bị ảnh hưởng tự động cập nhật lên phiên bản độc hại mà không hay biết.
Các plugin độc hại bao gồm hai tệp tin quan trọng, trong đó tệp worker.js sẽ kết nối đến máy chủ chỉ huy và kiểm soát, tải xuống cấu hình và lưu trữ trong bộ nhớ cục bộ của Chrome, sau đó đăng ký trình lắng nghe để theo dõi các sự kiện từ content.js. Phiên bản độc hại của tiện ích mở rộng ( phiên bản 24.10.4) đã ra mắt vào lúc 1:32( UTC vào ngày 25 tháng 12 và đã bị gỡ bỏ vào lúc 2:50) UTC vào ngày 26 tháng 12, tồn tại tổng cộng 31 giờ. Trong khoảng thời gian này, trình duyệt Chrome chạy tiện ích mở rộng đó sẽ tự động tải xuống và cài đặt mã độc.
Báo cáo điều tra của công ty an ninh chỉ ra rằng, các plugin bị tấn công này đã đạt tổng số lượt tải xuống trên cửa hàng Google vượt quá 500.000 lần, với hơn 2,6 triệu thiết bị của người dùng có dữ liệu nhạy cảm bị đánh cắp, gây ra một rủi ro an ninh lớn cho người dùng. Những tiện ích mở rộng bị chỉnh sửa này đã có thời gian niêm yết trên cửa hàng ứng dụng Google Chrome lên tới 18 tháng, trong khi đó, người dùng bị ảnh hưởng gần như không thể nhận ra rằng dữ liệu của họ đã bị rò rỉ trong thời gian này.
Do chính sách cập nhật của cửa hàng Chrome dần không hỗ trợ các tiện ích phiên bản V2, và tiện ích gốc chính thức SwitchyOmega là phiên bản V2, nên nó cũng nằm trong phạm vi không được hỗ trợ. Phiên bản độc hại bị ô nhiễm là phiên bản V3, tài khoản nhà phát triển của nó khác với tài khoản của phiên bản gốc V2. Do đó, không thể xác nhận phiên bản này có phải do chính thức phát hành hay không, cũng không thể đánh giá xem tài khoản chính thức có bị hack và tải lên phiên bản độc hại hay không, hay tác giả của phiên bản V3 thực sự có hành vi độc hại.
Các chuyên gia bảo mật khuyên người dùng nên kiểm tra ID của plugin đã cài đặt để xác nhận xem đó có phải là phiên bản chính thức hay không. Nếu bạn thấy rằng bạn đã cài đặt một plug-in bị ảnh hưởng, bạn nên cập nhật ngay lên phiên bản bảo mật mới nhất hoặc loại bỏ trực tiếp để giảm rủi ro bảo mật.
Làm thế nào để ngăn chặn sự giả mạo của plugin?
Các tiện ích mở rộng trình duyệt luôn là điểm yếu trong an ninh mạng. Để tránh các plugin bị can thiệp hoặc tải xuống các plugin độc hại, người dùng cần thực hiện bảo vệ an toàn từ ba khía cạnh: cài đặt, sử dụng và quản lý.
Chỉ tải xuống plugin từ các kênh chính thức
Ưu tiên sử dụng cửa hàng chính thức của Chrome, đừng dễ dàng tin vào các liên kết tải xuống của bên thứ ba trên mạng.
Tránh sử dụng các plugin "phiên bản crack" chưa được xác minh, nhiều plugin đã được sửa đổi có thể đã bị cài đặt backdoor.
Cảnh giác với yêu cầu quyền của plugin
Cẩn thận cấp quyền, một số plugin có thể yêu cầu quyền không cần thiết, chẳng hạn như truy cập lịch sử duyệt web, bảng t clipboard, v.v.
Gặp yêu cầu từ plugin để đọc thông tin nhạy cảm, hãy luôn cảnh giác.
Thường xuyên kiểm tra các plugin đã cài đặt
Nhập chrome://extensions/ vào thanh địa chỉ Chrome, xem tất cả các tiện ích đã cài đặt.
Theo dõi thời gian cập nhật gần đây của plugin, nếu plugin lâu không được cập nhật mà đột nhiên phát hành phiên bản mới, cần cảnh giác có thể bị can thiệp.
Thường xuyên kiểm tra thông tin nhà phát triển của plugin, nếu plugin thay đổi nhà phát triển hoặc quyền hạn xảy ra thay đổi, cần phải nâng cao cảnh giác.
Sử dụng các công cụ chuyên nghiệp để theo dõi dòng tiền và ngăn ngừa tổn thất tài sản
Nếu bạn nghi ngờ rằng private key đã bị xâm phạm, bạn có thể sử dụng các công cụ chuyên nghiệp để theo dõi các giao dịch on-chain và hiểu dòng tiền một cách kịp thời.
Đối với các bên dự án, với tư cách là nhà phát triển và người bảo trì plugin, cần áp dụng các biện pháp an ninh nghiêm ngặt hơn để ngăn chặn các rủi ro như giả mạo độc hại, tấn công chuỗi cung ứng, lạm dụng OAuth, v.v.
Kiểm soát truy cập OAuth
Giới hạn phạm vi ủy quyền, theo dõi nhật ký OAuth, nếu plugin cần sử dụng OAuth để xác thực, hãy thử sử dụng mã thông báo tồn tại ngắn hạn (Cơ chế )Refresh Token( Token) tồn tại ngắn hạn + làm mới mã thông báo, Tránh lưu trữ lâu dài các token đặc quyền cao.
Tăng cường bảo mật tài khoản Chrome Web Store
Cửa hàng Chrome trực tuyến là kênh phân phối chính thức duy nhất cho plugin và một khi tài khoản nhà phát triển bị xâm phạm, kẻ tấn công có thể giả mạo plugin và đẩy nó đến tất cả các thiết bị của người dùng. Do đó, cần tăng cường bảo mật tài khoản, chẳng hạn như bật 2FA và sử dụng quản lý đặc quyền tối thiểu.
Kiểm toán định kỳ
Tính toàn vẹn mã plugin là cốt lõi của việc phòng chống gian lận của dự án, nên định kỳ thực hiện kiểm toán an ninh.
Giám sát plug-in
Nhóm dự án không chỉ cần đảm bảo phiên bản mới phát hành an toàn, mà còn cần theo dõi thời gian thực xem plugin có bị tấn công hay không. Nếu phát hiện vấn đề, cần phải gỡ bỏ ngay phiên bản độc hại, phát hành thông báo an toàn và thông báo cho người dùng gỡ cài đặt phiên bản bị nhiễm.
! [Sự kiện rủi ro tái xuất hiện của Google plug-in: SwitchyOmega đã bị đánh cắp khóa riêng tư, làm thế nào để ngăn plug-in bị giả mạo?] ](https://img-cdn.gateio.im/webp-social/moments-acc87783cc5511257d952fc64e76c405.webp)
Phải làm gì với các plugin đã được cấy mã độc?
Nếu phát hiện plugin đã bị mã độc xâm nhập, hoặc nghi ngờ plugin có thể có rủi ro, khuyến nghị người dùng thực hiện các biện pháp sau:
Ngay lập tức gỡ bỏ plugin
Truy cập trang quản lý tiện ích mở rộng của Chrome (chrome://extensions/) và tìm plugin bị ảnh hưởng để xóa.
Xóa hoàn toàn dữ liệu plugin để ngăn chặn mã độc còn sót lại tiếp tục hoạt động.
Thay đổi thông tin nhạy cảm có thể bị xâm phạm
Thay đổi tất cả mật khẩu đã lưu cho trình duyệt của bạn, đặc biệt là những mật khẩu liên quan đến sàn giao dịch tiền điện tử, tài khoản ngân hàng.
Tạo ví mới và chuyển tài sản một cách an toàn (nếu plugin truy cập vào ví tiền điện tử).
Kiểm tra xem API Key có bị rò rỉ hay không, và ngay lập tức thu hồi API Key cũ, xin cấp khóa mới.
Quét hệ thống để tìm cửa hậu hoặc phần mềm độc hại
Chạy phần mềm diệt virus hoặc công cụ chống phần mềm độc hại (như Windows Defender, AVG, Malwarebytes).
Kiểm tra (C của tệp Hosts:\Windows\System32\drivers\etc\hosts) để đảm bảo rằng địa chỉ máy chủ không bị thay đổi thành máy chủ độc hại.
Kiểm tra công cụ tìm kiếm mặc định và trang chủ của trình duyệt, một số tiện ích độc hại có thể thay đổi những cài đặt này.
Giám sát các tài khoản về hoạt động bất thường
Kiểm tra lịch sử đăng nhập của sàn giao dịch, tài khoản ngân hàng. Nếu phát hiện đăng nhập từ IP bất thường, cần ngay lập tức thay đổi mật khẩu và kích hoạt 2FA.
Kiểm tra lịch sử giao dịch của ví tiền điện tử của bạn để xem có bất kỳ giao dịch chuyển khoản bất thường nào không.
Kiểm tra xem tài khoản mạng xã hội có bị đánh cắp hay không, nếu có tin nhắn hoặc bài đăng bất thường, cần ngay lập tức thay đổi mật khẩu.
Phản hồi cho chính thức, ngăn chặn nhiều người dùng khác bị thiệt hại.
Nếu phát hiện plugin bị can thiệp, bạn có thể liên hệ với nhóm phát triển gốc hoặc báo cáo cho chính quyền Chrome.
Bạn có thể liên hệ với đội ngũ bảo mật để đưa ra cảnh báo rủi ro và nhắc nhở nhiều người dùng chú ý đến bảo mật.
Mặc dù tiện ích mở rộng trình duyệt có thể nâng cao trải nghiệm người dùng, nhưng chúng cũng có thể trở thành điểm tấn công của hacker, mang lại rủi ro rò rỉ dữ liệu và mất mát tài sản. Do đó, người dùng cần duy trì sự cảnh giác trong khi tận hưởng sự tiện lợi, phát triển thói quen an toàn tốt, chẳng hạn như cẩn thận trong việc cài đặt và quản lý tiện ích, kiểm tra quyền truy cập định kỳ, kịp thời cập nhật hoặc gỡ bỏ tiện ích khả nghi, v.v. Trong khi đó, các nhà phát triển và bên nền tảng cũng nên củng cố các biện pháp bảo vệ an ninh, đảm bảo tính an toàn và tuân thủ của các tiện ích. Chỉ khi người dùng, nhà phát triển và nền tảng cùng nhau nỗ lực nâng cao nhận thức về an toàn và thực hiện các biện pháp bảo vệ hiệu quả, mới có thể thật sự giảm thiểu rủi ro và bảo đảm an toàn cho dữ liệu và tài sản.
! [Sự kiện rủi ro tái xuất hiện của Google plug-in: SwitchyOmega đã bị đánh cắp khóa riêng tư, làm thế nào để ngăn plug-in bị giả mạo?] ](https://img-cdn.gateio.im/webp-social/moments-e2c87b4f5e2c9d0555347c7ecc585868.webp)
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
6
Đăng lại
Chia sẻ
Bình luận
0/400
MissedAirdropAgain
· 07-19 23:40
Lại là khóa riêng lại là nút, phải thua lỗ đến bao giờ đây?
Xem bản gốcTrả lời0
GweiObserver
· 07-18 01:39
Các plugin đều không thể tin được.
Xem bản gốcTrả lời0
MemeCurator
· 07-17 00:26
Ôi, lại đang trộm cá nữa.
Xem bản gốcTrả lời0
Web3Educator
· 07-17 00:19
chết tiệt, switchyomega cũng à? không giấu gì, các tiện ích mở rộng chrome hiện giờ thật đáng ngờ.
Xem bản gốcTrả lời0
GasFeeCrier
· 07-17 00:12
Tháo ra nhanh chóng
Xem bản gốcTrả lời0
DYORMaster
· 07-17 00:10
Đã sử dụng nhiều năm bỗng dưng phát sinh vấn đề này? Hoảng quá
Plug-in Chrome SwitchyOmega rủi ro rò rỉ khóa riêng tư Nhắc nhở người dùng thực hiện các biện pháp phòng ngừa
Vấn đề an toàn của tiện ích mở rộng Chrome tái diễn: SwitchyOmega bị chỉ trích có rủi ro đánh cắp Khóa riêng
Gần đây, có người dùng phản ánh rằng tiện ích chuyển đổi proxy nổi tiếng trên trình duyệt Chrome, SwitchyOmega, có thể tồn tại nguy cơ đánh cắp Khóa riêng. Qua điều tra, phát hiện rằng vấn đề bảo mật này không phải lần đầu tiên xảy ra, mà đã có cảnh báo liên quan từ năm ngoái. Tuy nhiên, một số người dùng có thể đã không chú ý đến những cảnh báo này và tiếp tục sử dụng phiên bản tiện ích có rủi ro, do đó phải đối mặt với các mối đe dọa nghiêm trọng như rò rỉ Khóa riêng và tài khoản bị chiếm đoạt. Bài viết này sẽ phân tích chi tiết tình trạng tiện ích bị thay đổi và thảo luận về cách phòng ngừa việc thay đổi tiện ích cũng như ứng phó với các tiện ích độc hại.
Tổng quan sự kiện
Vụ việc lần đầu tiên bắt nguồn từ một cuộc điều tra tấn công vào ngày 24 tháng 12 năm 2024. Sau khi nhận được email lừa đảo, một nhân viên của một công ty đã xuất bản một trình cắm trình duyệt được cấy mã độc để cố gắng đánh cắp cookie và mật khẩu của trình duyệt của người dùng và tải nó lên máy chủ của kẻ tấn công. Theo một cuộc điều tra của một công ty bảo mật chuyên nghiệp, hơn 30 plug-in trong Google Add-ons Store đã bị tấn công tương tự, bao gồm cả Proxy SwitchOmega (V3).
Email lừa đảo tuyên bố rằng chương trình mở rộng trình duyệt do công ty phát hành đã vi phạm các điều khoản liên quan của Google và đe dọa nếu không hành động ngay lập tức, plugin sẽ bị gỡ bỏ. Do cảm giác cấp bách, nhân viên đó đã nhấp vào liên kết lừa đảo trong email và đã cấp quyền cho một ứng dụng OAuth có tên "Privacy Policy Extension". Rủi ro chính của OAuth là, một khi kẻ tấn công có được quyền truy cập vào ứng dụng OAuth, chúng có thể điều khiển từ xa tài khoản của nạn nhân mà không cần mật khẩu để thay đổi dữ liệu ứng dụng.
Kẻ tấn công đã chiếm quyền kiểm soát tài khoản trên cửa hàng ứng dụng Chrome, tải lên phiên bản mở rộng mới có mã độc và lợi dụng cơ chế cập nhật tự động của Chrome, khiến người dùng bị ảnh hưởng tự động cập nhật lên phiên bản độc hại mà không hay biết.
Các plugin độc hại bao gồm hai tệp tin quan trọng, trong đó tệp worker.js sẽ kết nối đến máy chủ chỉ huy và kiểm soát, tải xuống cấu hình và lưu trữ trong bộ nhớ cục bộ của Chrome, sau đó đăng ký trình lắng nghe để theo dõi các sự kiện từ content.js. Phiên bản độc hại của tiện ích mở rộng ( phiên bản 24.10.4) đã ra mắt vào lúc 1:32( UTC vào ngày 25 tháng 12 và đã bị gỡ bỏ vào lúc 2:50) UTC vào ngày 26 tháng 12, tồn tại tổng cộng 31 giờ. Trong khoảng thời gian này, trình duyệt Chrome chạy tiện ích mở rộng đó sẽ tự động tải xuống và cài đặt mã độc.
Báo cáo điều tra của công ty an ninh chỉ ra rằng, các plugin bị tấn công này đã đạt tổng số lượt tải xuống trên cửa hàng Google vượt quá 500.000 lần, với hơn 2,6 triệu thiết bị của người dùng có dữ liệu nhạy cảm bị đánh cắp, gây ra một rủi ro an ninh lớn cho người dùng. Những tiện ích mở rộng bị chỉnh sửa này đã có thời gian niêm yết trên cửa hàng ứng dụng Google Chrome lên tới 18 tháng, trong khi đó, người dùng bị ảnh hưởng gần như không thể nhận ra rằng dữ liệu của họ đã bị rò rỉ trong thời gian này.
Do chính sách cập nhật của cửa hàng Chrome dần không hỗ trợ các tiện ích phiên bản V2, và tiện ích gốc chính thức SwitchyOmega là phiên bản V2, nên nó cũng nằm trong phạm vi không được hỗ trợ. Phiên bản độc hại bị ô nhiễm là phiên bản V3, tài khoản nhà phát triển của nó khác với tài khoản của phiên bản gốc V2. Do đó, không thể xác nhận phiên bản này có phải do chính thức phát hành hay không, cũng không thể đánh giá xem tài khoản chính thức có bị hack và tải lên phiên bản độc hại hay không, hay tác giả của phiên bản V3 thực sự có hành vi độc hại.
Các chuyên gia bảo mật khuyên người dùng nên kiểm tra ID của plugin đã cài đặt để xác nhận xem đó có phải là phiên bản chính thức hay không. Nếu bạn thấy rằng bạn đã cài đặt một plug-in bị ảnh hưởng, bạn nên cập nhật ngay lên phiên bản bảo mật mới nhất hoặc loại bỏ trực tiếp để giảm rủi ro bảo mật.
Làm thế nào để ngăn chặn sự giả mạo của plugin?
Các tiện ích mở rộng trình duyệt luôn là điểm yếu trong an ninh mạng. Để tránh các plugin bị can thiệp hoặc tải xuống các plugin độc hại, người dùng cần thực hiện bảo vệ an toàn từ ba khía cạnh: cài đặt, sử dụng và quản lý.
Chỉ tải xuống plugin từ các kênh chính thức
Cảnh giác với yêu cầu quyền của plugin
Thường xuyên kiểm tra các plugin đã cài đặt
Sử dụng các công cụ chuyên nghiệp để theo dõi dòng tiền và ngăn ngừa tổn thất tài sản
Đối với các bên dự án, với tư cách là nhà phát triển và người bảo trì plugin, cần áp dụng các biện pháp an ninh nghiêm ngặt hơn để ngăn chặn các rủi ro như giả mạo độc hại, tấn công chuỗi cung ứng, lạm dụng OAuth, v.v.
Kiểm soát truy cập OAuth
Tăng cường bảo mật tài khoản Chrome Web Store
Kiểm toán định kỳ
Giám sát plug-in
! [Sự kiện rủi ro tái xuất hiện của Google plug-in: SwitchyOmega đã bị đánh cắp khóa riêng tư, làm thế nào để ngăn plug-in bị giả mạo?] ](https://img-cdn.gateio.im/webp-social/moments-acc87783cc5511257d952fc64e76c405.webp)
Phải làm gì với các plugin đã được cấy mã độc?
Nếu phát hiện plugin đã bị mã độc xâm nhập, hoặc nghi ngờ plugin có thể có rủi ro, khuyến nghị người dùng thực hiện các biện pháp sau:
Ngay lập tức gỡ bỏ plugin
Thay đổi thông tin nhạy cảm có thể bị xâm phạm
Quét hệ thống để tìm cửa hậu hoặc phần mềm độc hại
Giám sát các tài khoản về hoạt động bất thường
Phản hồi cho chính thức, ngăn chặn nhiều người dùng khác bị thiệt hại.
Mặc dù tiện ích mở rộng trình duyệt có thể nâng cao trải nghiệm người dùng, nhưng chúng cũng có thể trở thành điểm tấn công của hacker, mang lại rủi ro rò rỉ dữ liệu và mất mát tài sản. Do đó, người dùng cần duy trì sự cảnh giác trong khi tận hưởng sự tiện lợi, phát triển thói quen an toàn tốt, chẳng hạn như cẩn thận trong việc cài đặt và quản lý tiện ích, kiểm tra quyền truy cập định kỳ, kịp thời cập nhật hoặc gỡ bỏ tiện ích khả nghi, v.v. Trong khi đó, các nhà phát triển và bên nền tảng cũng nên củng cố các biện pháp bảo vệ an ninh, đảm bảo tính an toàn và tuân thủ của các tiện ích. Chỉ khi người dùng, nhà phát triển và nền tảng cùng nhau nỗ lực nâng cao nhận thức về an toàn và thực hiện các biện pháp bảo vệ hiệu quả, mới có thể thật sự giảm thiểu rủi ro và bảo đảm an toàn cho dữ liệu và tài sản.
! [Sự kiện rủi ro tái xuất hiện của Google plug-in: SwitchyOmega đã bị đánh cắp khóa riêng tư, làm thế nào để ngăn plug-in bị giả mạo?] ](https://img-cdn.gateio.im/webp-social/moments-e2c87b4f5e2c9d0555347c7ecc585868.webp)