303/68 (IT) ประจำวันศุกร์ที่ 22 สิงหาคม 2568
นักวิจัยด้านความปลอดภัย Marek Tóth ได้นำเสนองานวิจัยที่งาน DEF CON 33 ว่าปลั๊กอินหรือส่วนขยายตัวจัดการรหัสผ่าน (Password Manager) ยอดนิยมอย่าง 1Password, iCloud Passwords, Bitwarden, LastPass และอีกหลายตัว มีช่องโหว่ที่เรียกว่า DOM-Based Extension Clickjacking ซึ่งอาจทำให้แฮกเกอร์สามารถขโมยข้อมูลสำคัญได้ เพียงผู้ใช้งานคลิกบนเว็บไซต์ที่ถูกควบคุมโดยผู้ไม่หวังดี ช่องโหว่นี้เปิดโอกาสให้ถูกขโมยข้อมูลได้ทั้งรหัสบัญชี, รหัสยืนยันตัวตนสองชั้น (2FA), ข้อมูลบัตรเครดิต รวมถึงข้อมูลส่วนบุคคลอื่น ๆ ซึ่งส่วนขยายเหล่านี้มีผู้ใช้งานรวมกันหลายล้านคน
เทคนิคดังกล่าวเกิดจากการใช้สคริปต์แฝงในเว็บไซต์ปลอม เพื่อดักจับการทำงานของ UI ที่ส่วนขยาย Password Manager แทรกเข้ามาในหน้าเว็บ เช่น ฟังก์ชัน Auto-fill โดยทำให้ฟอร์มล็อกอินมองไม่เห็น (opacity เป็นศูนย์) เมื่อผู้ใช้คลิกเพื่อปิดป็อปอัปปลอม ข้อมูลการล็อกอินที่ถูกเติมอัตโนมัติจะถูกส่งออกไปยังเซิร์ฟเวอร์ของแฮกเกอร์ ผลการทดสอบกับส่วนขยาย 11 ตัว พบว่ามีถึง 10 ตัวที่อาจถูกขโมยรหัสผ่านได้ ขณะที่บางกรณียังเสี่ยงต่อการถูกโจมตีด้วย Passkey Authentication อีกด้วย
ปัจจุบันมีผู้พัฒนา 6 บริษัทที่ยังไม่ออกแพตช์แก้ไข ได้แก่ 1Password, Apple iCloud Passwords, Bitwarden, Enpass, LastPass และ LogMeOnce โดยมีรายงานว่าบางรายกำลังเร่งพัฒนาแพตช์ ส่วนบางรายถือว่าเป็นเพียงข้อมูลประกอบ ทั้งนี้จนกว่าจะมีการแก้ไข ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ ปิดการใช้งาน Auto-fill ชั่วคราว และใช้การคัดลอก-วางแทน รวมถึงผู้ใช้เบราว์เซอร์ที่ใช้ Chromium ควรตั้งค่าให้ส่วนขยายทำงานเฉพาะเมื่อคลิก (On Click) เพื่อป้องกันความเสี่ยงจนกว่าจะมีการแก้ไขอย่างถาวรจากผู้พัฒนา
แหล่งข่าว https://thehackernews.com/2025/08/dom-based-extension-clickjacking.html
