Phân tích sự cố rủi ro an ninh của tiện ích mở rộng Chrome SwitchyOmega và các đề xuất phòng ngừa

Gần đây, nhiều người dùng phản hồi rằng plugin chuyển đổi proxy nổi tiếng SwitchyOmega có thể tồn tại nguy cơ bảo mật đánh cắp khóa riêng. Qua điều tra, phát hiện rằng vấn đề này đã xuất hiện từ năm ngoái, nhưng một số người dùng có thể đã không chú ý đến thông báo cảnh báo, vẫn đang sử dụng phiên bản plugin đã bị ô nhiễm, đối mặt với rủi ro nghiêm trọng như tài khoản bị chiếm đoạt.

Tổng quan sự kiện

Sự kiện này ban đầu bắt nguồn từ một cuộc điều tra về tấn công mạng. Vào ngày 24 tháng 12 năm 2024, một nhân viên của một công ty đã bị tấn công qua email lừa đảo, dẫn đến việc plugin trình duyệt mà họ phát hành bị cài mã độc, cố gắng đánh cắp Cookie và mật khẩu của người dùng trình duyệt. Cuộc điều tra độc lập cho thấy hơn 30 plugin của cửa hàng Google đã bị tấn công tương tự, bao gồm Proxy SwitchOmega (V3).

Kẻ tấn công đã chiếm quyền kiểm soát tài khoản nhà phát triển thông qua giao diện ủy quyền OAuth giả mạo, sau đó tải lên phiên bản plugin mới chứa mã độc. Bằng cách lợi dụng cơ chế cập nhật tự động của Chrome, người dùng bị ảnh hưởng đã cập nhật lên phiên bản độc hại mà không hề hay biết.

Phiên bản plugin độc hại đã được ra mắt vào lúc nửa đêm ngày 25 tháng 12 và bị gỡ bỏ vào nửa đêm ngày 26, tồn tại khoảng 31 giờ. Trong thời gian này, trình duyệt Chrome sử dụng plugin này sẽ tự động tải xuống và cài đặt mã độc.

Báo cáo điều tra chỉ ra rằng, số lượng tải xuống tích lũy của các tiện ích bị ảnh hưởng trong cửa hàng Google đã vượt quá 500.000 lần, và dữ liệu nhạy cảm trên hơn 2,6 triệu thiết bị của người dùng có thể đã bị đánh cắp. Các tiện ích bị thao túng này đã tồn tại lâu nhất trong cửa hàng ứng dụng lên tới 18 tháng, và người dùng gần như không thể nhận ra sự rò rỉ dữ liệu.

Do vì cửa hàng Chrome dần dần ngừng hỗ trợ các plugin phiên bản V2, trong khi phiên bản gốc của SwitchyOmega là phiên bản V2, nên cũng nằm trong phạm vi không được hỗ trợ. Tài khoản nhà phát triển phiên bản V3 bị ô nhiễm khác với phiên bản gốc, không thể xác nhận liệu đây có phải là phiên bản chính thức phát hành hay tài khoản đã bị tấn công.

Đội ngũ an ninh khuyên người dùng kiểm tra ID của các plugin đã cài đặt, xác nhận xem có phải là phiên bản chính thức hay không. Nếu phát hiện plugin bị ảnh hưởng, nên ngay lập tức cập nhật lên phiên bản an toàn mới nhất hoặc gỡ bỏ trực tiếp để giảm thiểu rủi ro an ninh.

Cách ngăn chặn plugin bị sửa đổi

Để tránh việc plugin bị can thiệp hoặc tải xuống các plugin độc hại, người dùng cần thực hiện bảo vệ an ninh từ ba khía cạnh: cài đặt, sử dụng và quản lý.

1. Chỉ tải xuống plugin từ các kênh chính thức.
2. Cảnh giác với yêu cầu quyền của plugin
3. Kiểm tra định kỳ các plugin đã cài đặt
4. Sử dụng công cụ chuyên nghiệp để theo dõi dòng tiền, ngăn chặn mất mát tài sản

Đối với các nhà phát triển plugin, nên thực hiện các biện pháp an ninh nghiêm ngặt hơn:

1. Tăng cường kiểm soát truy cập OAuth
2. Nâng cao tính bảo mật tài khoản Chrome Web Store
3. Thực hiện kiểm toán an ninh định kỳ
4. Giám sát thời gian thực xem plugin có bị chiếm đoạt hay không

Đề xuất xử lý các plugin đã bị cài đặt mã độc

Nếu phát hiện plugin đã bị mã độc xâm nhập hoặc có nguy cơ, nên thực hiện các biện pháp sau:

1. Ngay lập tức gỡ bỏ plugin
2. Thay đổi thông tin nhạy cảm có thể bị lộ
3. Quét hệ thống, kiểm tra xem có backdoor hoặc phần mềm độc hại không
4. Theo dõi xem tài khoản có hoạt động bất thường nào không
5. Phản hồi đến chính thức, ngăn chặn nhiều người dùng bị thiệt hại hơn

Mặc dù tiện ích mở rộng trình duyệt có thể nâng cao trải nghiệm người dùng, nhưng cũng có thể trở thành điểm tấn công của hacker. Người dùng cần giữ cảnh giác và hình thành thói quen an toàn tốt. Đồng thời, các nhà phát triển và các nền tảng cũng nên tăng cường các biện pháp bảo vệ an ninh, đảm bảo tính an toàn và tuân thủ của các tiện ích. Chỉ khi tất cả các bên cùng nhau nỗ lực, nâng cao nhận thức về an toàn và thực hiện các biện pháp bảo vệ hiệu quả, mới có thể thực sự giảm thiểu rủi ro và bảo vệ dữ liệu cũng như tài sản.