เทคนิคใหม่ ใช้ช่องโหว่ iFrame ขโมยข้อมูลจากหน้าเว็บ

iFrame

iFrame ย่อมาจาก inline frame เป็นองค์ประกอบของ HTML ที่ใช้เพื่อฝังเนื้อหาจากเว็บไซต์อื่นลงในหน้าเว็บเราหรือเว็บอื่นได้ ตัวอย่างเช่น เราสามารถใช้ iFrame เพื่อฝังวิดีโอจาก YouTube หรือแผนที่จาก Google Maps ลงในหน้าเว็บเรา

โดยล่าสุด นักวิจัยค้นพบช่องโหว่จากการ์ดจอจากผู้ผลิตทุกรายมีช่องโหว่ที่อาจให้แฮกเกอร์ สามารถขโมยรหัสบนเว็บต่าง ๆ ที่มีการใช้งาน iFrame ซึ่งนักวิจัยได้แจ้งรื่องนี้ไปกับผู้ผลิตแล้ว แต่ก็ไม่มีอะไรคืบหน้า

ช่องโหว่นี้ส่งผลต่อเว็บเบราว์เซอร์ Chrome และ Edge และส่งผลกับการ์ดจอที่เป็นแบบ On-board และการ์ดจอแยก ซึ่งรวมถึง AMD, Intel, Nvidia, Apple, Arm และ Qualcomm

เทคนิคการโจมตีดังกล่าวชื่อว่า GPU.ZIP เริ่มต้นจากเว็บไซต์หนึ่งที่เป็นเว็บอันตรายใช้วิธีการหลอกฝัง iFrames ไว้ในเว็บไซต์อื่น หากผู้ใช้กดคลิกและอนุญาตให้โหลด iFrame ด้วยคุ๊กกี้แล้ว และเรนเดอร์ SVG filters บน GPU ไซต์ที่เป็นอันตรายจะสามารถขโมยและถอดรหัสพิกเซลที่แสดงได้ ซึ่งจะทำให้เห็นชื่อผู้ใช้ รหัสผ่าน และข้อมูลสำคัญอื่น ๆ

โชคดีที่เว็บไซต์ส่วนใหญ่ที่มีการจัดการข้อมูลที่ละเอียดอ่อน จะห้ามฝัง iFrame ยกเว้นเสียแต่เว็บสาธารณะอย่าง Wikipedia ที่สามารถทำได้

คำแนะนำสำหรับผู้ใช้คือ
+ ระวังว่าเว็บไซต์ใดที่เราเข้า พยายามให้เรากดอนุญาตส่วนต่าง ๆ หรือไม่
+ หากเรากังวลเกี่ยวกับช่องโหว่นี้ เราสามารถใช้ส่วนขยายเบราว์เซอร์เพื่อบล็อก iFrame ได้

ที่มาข้อมูล
https://www.techspot.com/news/100306-new-pixel-stealing-exploit-can-read-usernames-passwords.html?utm_source=flipboard&utm_content=user%2FTechSpot