Sự kiện an ninh plugin Google: SwitchyOmega bị cáo buộc đánh cắp Khóa riêng, thảo luận về chiến lược phòng ngừa an ninh plugin

Gần đây, một số người dùng đã phản ánh rằng plugin chuyển đổi proxy nổi tiếng SwitchyOmega có thể tồn tại rủi ro đánh cắp khóa riêng. Qua điều tra, phát hiện rằng mối nguy hiểm này đã xuất hiện từ năm ngoái, nhưng một số người dùng có thể chưa chú ý đến cảnh báo liên quan, vẫn tiếp tục sử dụng phiên bản plugin bị ảnh hưởng, do đó phải đối mặt với mối đe dọa nghiêm trọng như tài khoản bị xâm phạm. Bài viết này sẽ phân tích sâu về tình trạng plugin bị can thiệp lần này và thảo luận cách ngăn chặn việc can thiệp plugin cũng như ứng phó với các plugin độc hại.

Tổng quan sự kiện

Sự cố này ban đầu xuất phát từ một cuộc điều tra tấn công vào ngày 24 tháng 12 năm 2024. Một nhân viên của một công ty đã nhận được email lừa đảo, dẫn đến việc plugin trình duyệt mà họ phát hành bị tiêm mã độc, cố gắng đánh cắp cookie và mật khẩu trình duyệt của người dùng. Cuộc điều tra độc lập cho thấy đã có hơn 30 plugin trong cửa hàng plugin của Google bị tấn công tương tự, bao gồm Proxy SwitchOmega (V3).

Kẻ tấn công đã chiếm quyền kiểm soát tài khoản Chrome Web Store của một công ty thông qua email lừa đảo, sau đó tải lên một phiên bản mở rộng mới chứa mã độc. Sử dụng cơ chế cập nhật tự động của Chrome, người dùng bị ảnh hưởng đã cập nhật lên phiên bản độc hại mà không hay biết.

Báo cáo điều tra chỉ ra rằng, các plugin bị tấn công này có tổng số lượt tải xuống trên cửa hàng Google vượt quá 500.000 lần, hơn 2,6 triệu thiết bị người dùng đã bị đánh cắp dữ liệu nhạy cảm, gây ra rủi ro an ninh rất lớn cho người dùng. Những tiện ích mở rộng bị chỉnh sửa này đã có mặt trên cửa hàng ứng dụng lâu nhất lên đến 18 tháng, trong khi đó, các nạn nhân gần như không thể nhận ra dữ liệu của họ đã bị rò rỉ trong khoảng thời gian này.

Do chính sách cập nhật của cửa hàng Chrome dần không hỗ trợ các plugin phiên bản V2, nên plugin gốc của SwitchyOmega, vốn là phiên bản V2, cũng nằm trong phạm vi không được hỗ trợ. Phiên bản độc hại bị ô nhiễm là phiên bản V3, tài khoản phát triển của nó khác với tài khoản của phiên bản gốc V2. Do đó, không thể xác nhận phiên bản này có phải do chính thức phát hành hay không, cũng như không thể xác định liệu tài khoản chính thức đã bị tấn công bởi hacker và tải lên phiên bản độc hại, hay tác giả của phiên bản V3 vốn đã có hành vi độc hại.

Các chuyên gia an ninh khuyên người dùng kiểm tra ID của các plugin đã cài đặt để xác nhận xem chúng có phải là phiên bản chính thức hay không. Nếu phát hiện các plugin bị ảnh hưởng đã được cài đặt, nên ngay lập tức cập nhật lên phiên bản an toàn mới nhất hoặc gỡ bỏ chúng để giảm thiểu rủi ro an ninh.

Làm thế nào để ngăn chặn việc sửa đổi plugin?

Các tiện ích mở rộng của trình duyệt luôn là một điểm yếu trong an ninh mạng. Để tránh các plugin bị can thiệp hoặc tải xuống các plugin độc hại, người dùng cần thực hiện bảo vệ an ninh từ ba khía cạnh: cài đặt, sử dụng và quản lý.

1. Chỉ tải xuống plugin từ kênh chính thức

   • Ưu tiên sử dụng cửa hàng chính thức của Chrome, không nên tin tưởng vào các liên kết tải xuống bên thứ ba trên mạng.
   • Tránh sử dụng các plugin "bẻ khóa" chưa được xác minh, nhiều plugin đã sửa đổi có thể đã được cài vào cửa hậu.

2. Cảnh giác với yêu cầu quyền của plugin

   • Cẩn thận khi cấp quyền, một số plugin có thể yêu cầu quyền không cần thiết, chẳng hạn như truy cập vào lịch sử duyệt web, clipboard, v.v.
   • Khi gặp yêu cầu từ plugin để đọc thông tin nhạy cảm, hãy nâng cao cảnh giác.

3. Kiểm tra định kỳ các plugin đã cài đặt

   • Nhập chrome://extensions/ vào thanh địa chỉ Chrome để xem tất cả các tiện ích đã cài đặt.
   • Chú ý đến thời gian cập nhật gần đây của plugin, nếu plugin đã lâu không được cập nhật nhưng đột nhiên phát hành phiên bản mới, cần cảnh giác với khả năng bị can thiệp.
   • Thường xuyên kiểm tra thông tin nhà phát triển của plugin, nếu plugin thay đổi nhà phát triển hoặc quyền hạn xảy ra thay đổi, cần nâng cao cảnh giác.

4. Sử dụng công cụ giám sát dòng tiền

   • Nếu nghi ngờ khóa riêng bị lộ, có thể sử dụng công cụ chuyên nghiệp để giám sát giao dịch trên chuỗi, kịp thời nắm bắt hướng đi của tài chính.

Đối với các bên dự án, với tư cách là nhà phát triển và duy trì plugin, cần áp dụng các biện pháp an ninh nghiêm ngặt hơn để ngăn chặn các rủi ro như giả mạo độc hại, tấn công chuỗi cung ứng, lạm dụng OAuth, v.v.

1. Kiểm soát truy cập OAuth

   • Giới hạn phạm vi ủy quyền, theo dõi nhật ký OAuth, nếu plugin cần sử dụng OAuth để xác thực, cố gắng sử dụng cơ chế token ngắn hạn + token làm mới, tránh lưu trữ lâu dài Token có quyền cao.

2. Tăng cường bảo mật tài khoản Chrome Web Store

   • Chrome Web Store là kênh phát hành chính thức duy nhất cho các tiện ích mở rộng, một khi tài khoản nhà phát triển bị xâm phạm, kẻ tấn công có thể sửa đổi tiện ích mở rộng và đẩy nó đến tất cả thiết bị của người dùng. Do đó, cần phải tăng cường bảo mật tài khoản, chẳng hạn như kích hoạt 2FA, sử dụng quản lý quyền tối thiểu.

3. Kiểm toán định kỳ

   • Tính toàn vẹn của mã plugin là cốt lõi của việc ngăn chặn gian lận của bên dự án, nên thường xuyên thực hiện kiểm toán an ninh.

4. Giám sát plugin

   • Các nhóm dự án không chỉ cần đảm bảo rằng phiên bản mới được phát hành an toàn, mà còn cần theo dõi thời gian thực xem plugin có bị chiếm đoạt hay không, nếu phát hiện vấn đề thì ngay lập tức gỡ bỏ phiên bản độc hại, phát hành thông báo an toàn, thông báo cho người dùng gỡ cài đặt phiên bản bị nhiễm.

Làm thế nào để xử lý các plugin đã bị cài đặt mã độc?

Nếu phát hiện plugin đã bị mã độc xâm nhập, hoặc nghi ngờ plugin có thể tồn tại rủi ro, khuyên người dùng nên thực hiện các biện pháp sau:

1. Ngay lập tức gỡ bỏ plugin

   • Vào trang quản lý tiện ích mở rộng của Chrome, tìm và gỡ bỏ tiện ích bị ảnh hưởng.
   • Xóa hoàn toàn dữ liệu plugin để ngăn chặn mã độc còn sót lại tiếp tục chạy.

2. Thay đổi thông tin nhạy cảm có thể bị rò rỉ

   • Thay đổi tất cả mật khẩu đã lưu trong trình duyệt, đặc biệt là những mật khẩu liên quan đến sàn giao dịch tiền điện tử và tài khoản ngân hàng.
   • Tạo ví mới và chuyển tài sản một cách an toàn (nếu plugin đã truy cập vào ví tiền điện tử).
   • Kiểm tra xem API Key có bị rò rỉ không, và ngay lập tức thu hồi API Key cũ, yêu cầu khóa mới.

3. Quét hệ thống, kiểm tra xem có cửa hậu hoặc phần mềm độc hại không

   • Chạy phần mềm diệt virus hoặc công cụ chống phần mềm độc hại.
   • Kiểm tra tệp Hosts, đảm bảo không bị sửa đổi thành địa chỉ máy chủ độc hại.
   • Kiểm tra công cụ tìm kiếm mặc định và trang chủ của trình duyệt, một số tiện ích độc hại có thể thay đổi các cài đặt này.

4. Giám sát xem tài khoản có hoạt động bất thường không

   • Kiểm tra lịch sử đăng nhập của sàn giao dịch và tài khoản ngân hàng, nếu phát hiện đăng nhập từ IP bất thường, cần ngay lập tức đổi mật khẩu và kích hoạt 2FA.
   • Kiểm tra lịch sử giao dịch của ví tiền điện tử, xác nhận xem có giao dịch bất thường nào không.
   • Kiểm tra xem tài khoản mạng xã hội có bị xâm phạm hay không, nếu có tin nhắn hoặc bài đăng bất thường, cần ngay lập tức thay đổi mật khẩu.

5. Phản hồi cho chính thức, ngăn chặn nhiều người dùng khác bị thiệt hại.

   • Nếu phát hiện plugin bị sửa đổi, bạn có thể liên hệ với nhóm phát triển gốc hoặc báo cáo cho chính thức Chrome.
   • Có thể liên hệ với đội ngũ an ninh, phát hành cảnh báo rủi ro, nhắc nhở nhiều người dùng hơn chú ý đến an toàn.

Mặc dù các tiện ích mở rộng trình duyệt có thể nâng cao trải nghiệm người dùng, nhưng chúng cũng có thể trở thành điểm tấn công của tin tặc, mang lại rủi ro về rò rỉ dữ liệu và mất mát tài sản. Do đó, người dùng cần giữ cảnh giác trong khi tận hưởng sự tiện lợi, và hình thành thói quen an toàn tốt, chẳng hạn như cẩn thận khi cài đặt và quản lý các tiện ích, kiểm tra quyền thường xuyên, kịp thời cập nhật hoặc gỡ bỏ các tiện ích nghi ngờ, v.v. Trong khi đó, các nhà phát triển và bên nền tảng cũng nên củng cố các biện pháp bảo vệ an ninh, đảm bảo tính an toàn và tuân thủ của các tiện ích. Chỉ có sự nỗ lực chung của người dùng, nhà phát triển và nền tảng để nâng cao nhận thức về an ninh và thực hiện các biện pháp bảo vệ hiệu quả mới có thể thực sự giảm thiểu rủi ro, bảo vệ an toàn dữ liệu và tài sản.