Hacker ထံ မိမိအခ်က္အလက္မ်ားေရာက္ရွိသြားႏုိင္မည့္ Browser AutoFill Feature
အင္တာနက္အသံုးျပဳသူအမ်ားစု
အထူးသျဖင့္ မုိဘုိလ္းဖုန္းမ်ားျဖင့္ အသံုးျပဳသူမ်ား အမုန္းဆံုး အရာမွာ မိမိတုိ႔အသံုးျပဳမည့္
website မ်ားတြင္ web form ( name, email ) စသည္တုိ႔ ျဖည့္စြက္ရျခင္း ျဖစ္ပါတယ္။
ဒါကုိေျပလည္ေစရန္
Google Chrome ကဲ့သုိ႔ေသာ နာမည္ၾကီး Browser မ်ားမွစကာ အျခား Browser မ်ားတြင္
Autofill ဟူေသာ စနစ္ပါ၀င္လာခဲ့ပါတယ္။ ၄င္းစနစ္ဟာ အရင္ျဖည့္ထားဖူးေသာ အခ်က္အလက္မ်ားကုိ
ျပန္လည္ယူကာ အလားတူ web form မ်ားတြင္ ျဖည့္စြက္ေပးျခင္း ျဖစ္ပါတယ္။
အရာရာမွာ
အေကာင္းအဆုိးဒြန္တဲြလ်က္ရွိေနေၾကာင္း သိသာလွသည့္ တစ္ခ်က္ကေတာ့ ထုိ AutoFill ေၾကာင့္
လုပ္ငန္းလြယ္ကူ ျမန္ဆန္လာသလုိ AutoFill ကုိ အသံုးခ်ကာ Hacker မ်ားမွ မိမိတို႔အခ်က္အလက္မ်ားကုိ
လွည့္ဖ်ားရယူသြားႏုိင္ေၾကာင္း ေဖာ္ထုတ္လုိက္ပါျပီ။
ဖင္လန္မွ
web developer ၊ white hacker တစ္ဦးျဖစ္သူ Viljami Kuosmanen မွ GitHub တြင္ Attacker တစ္ေယာက္ဟာ
AutoFill ကုိ အသံုးခ်ျပီး အခ်က္အလက္မ်ားကုိ ရယူမွဳအား ေဖာ္ျပခဲ့ပါတယ္။ ဒီအားနည္းကုိ
ပထမဆံုးအေနျဖင့္ ဆုိက္ဘာလံုျခံဳေရးသုေတသီ
Ricardo Martin Rodriguez မွ ၂၀၁၃ တြင္ ပထမဆံုးအေနျဖင့္ ေဖာ္ထုတ္ခဲ့ေသာ္လည္း
Google မွ ျပီးေျမာက္စြာ ျပင္ဆင္ျခင္း မရွိခဲ့ေၾကာင္း သိသာသြားပါတယ္။
သက္ေသျပခ်က္အျဖစ္ျပသထားေသာ
Demo Website တြင္ ပံုမွန္ျဖည့္ရန္ Name နဲ႔
Email သာ ပါ၀င္ပါတယ္။ သုိ႔ေပမယ့္ Hidden ျဖစ္ေနေသာ အျခားေနရာမ်ားတြင္ Phone
Number, Organization, Address, Postal Code, City ႏွင့္ Country တုိ႔ ပါ၀င္ကာ
AutoFill အလုိအေလ်ာက္ျဖည့္သြားမည္ ျဖစ္ပါတယ္။
ထုိ႔အတြက္ေၾကာင့္
အသံုးျပဳသူမွ အမည္နဲ႔ အီးေမးလ္လိပ္စာသာ ျဖည့္ေသာ္လည္း အျခား Hidden ျဖစ္ေနေသာ အခ်က္အလက္မ်ားပါ
ပါ၀င္ကာ တုိက္ခုိက္သူထံ ေရာက္ရွိသြားမွာ ျဖစ္ပါတယ္။
စမ္းသပ္လုိပါက
Kuosmanen’s PoC site ျဖင့္လည္း စမ္းသပ္ႏုိင္ပါေသးတယ္။ သူကေတာ့
အေရးၾကီးအခ်က္အလက္မ်ားျဖစ္သည့္ Credit Card နံပါတ္မ်ား၊ ကုန္ဆံုးရက္မ်ားကဲ့သုိ႔ပါ ပါ၀င္မည္ျဖစ္ပါသည္။
သုိ႔ေသာ္လည္း Chrome အေနျဖင့္ ေငြေၾကးပုိင္းဆုိင္ရာ ပါ၀င္ပါက ဆုိဒ္သည္ Secure ျဖစ္ေသာ
HTTPS မဟုတ္လွ်င္ Warning ျပမည္ ျဖစ္ေလသည္။
Kuosmanen
Attack ဟာ အဓိက Browser မ်ားႏွင့္ Autofill tools မ်ားတြင္ လုပ္ေဆာင္ႏုိင္ျပီး ၄င္းတုိ႔ထဲတြင္
Google Chrome, Apple Safari, Opera နဲ႔ နာမည္ၾကီး Cloud Security vault ျဖစ္သည့္
LastPass တုိ႔ ပါ၀င္ပါတယ္။
လက္ရွိအခ်ိန္ထိ
Mozilla Firefox အသံုးျပဳသူမ်ားအေနျဖင့္ ယခုတိုက္ခုိက္မွဳအား စုိးရိမ္ရမွဳမရွိေသးပါဘူး။
Firefox မွာ multi_box AutoFill စနစ္မပါေသးတာေၾကာင့္ ျဖစ္ပါတယ္။ ဒါေၾကာင့္ Firefox
Browser အား ယခုတုိက္ခုိက္မွဳမ်ဳိးက သက္ေရာက္မွဳမရွိႏုိင္ေသးေၾကာင္း Mozilla
principal Security engineer ျဖစ္သူ Daniel Veditz မွ ေျပာၾကားခဲ့ပါတယ္။
ကာကြယ္နည္း
အေကာင္းဆံုး
ကာကြယ္နည္းကေတာ့ မိမိ Browser , password manager , extension တုိ႔မွာ Autofill အား
ပိတ္ထားျခင္းပင္ျဖစ္ပါတယ္။ Google Chrome မွာ Default အေနနဲ႔ On ျဖစ္ပါတယ္။ ပိတ္ရန္အတြက္ကေတာ့
Setting à Show Advanced Setting à Passwords and Forms à Uncheck Enable Autofill ဆုိရင္ အဆင္ေျပျပီ
ျဖစ္ပါတယ္။
Opera အသံုးျပဳသူမ်ားအေနျဖင့္
Setting à
Autofill à
turn off လုပ္ရမွာ ျဖစ္ပါတယ္။
Safari အသံုးျပဳသူမ်ားအေနျဖင့္
Preferences à Autofill à turn off လုပ္ရမွာ ျဖစ္ပါတယ္။
ဆန္းျပားလွေသာ
ဆုိက္ဘာနယ္ပယ္ထဲမွာ အေကာင္းဆံုး ရပ္တည္ေနႏုိင္ၾကပါေစ…
သတင္းစီစဥ္တင္ဆက္သူ
ကုိသိန္း ( MEHN Team )
သတင္းစီစဥ္တင္ဆက္သူ
ကုိသိန္း ( MEHN Team )
Hacker ထံ မိမိအခ်က္အလက္မ်ားေရာက္ရွိသြားႏုိင္မည့္ Browser AutoFill Feature
Reviewed by Mr.Thein
on
9:34 AM
Rating:
Reviewed by Mr.Thein
on
9:34 AM
Rating:
No comments: