Sự kiện bảo mật plugin Google: SwitchyOmega có nguy cơ tiềm ẩn, làm thế nào để phòng ngừa plugin bị can thiệp?

Gần đây, một số người dùng phát hiện ra rằng tiện ích chuyển đổi proxy nổi tiếng SwitchyOmega có thể tồn tại nguy cơ an ninh liên quan đến việc đánh cắp khóa riêng. Vấn đề này thực ra đã có cảnh báo an ninh từ năm ngoái, nhưng một số người dùng có thể không để ý và vẫn đang sử dụng phiên bản tiện ích bị ảnh hưởng, đối mặt với nguy cơ nghiêm trọng như rò rỉ khóa riêng và tài khoản bị chiếm đoạt. Bài viết này sẽ phân tích tình trạng tiện ích này bị thao túng và thảo luận cách ngăn chặn việc thao túng tiện ích cũng như đối phó với các tiện ích độc hại.

Tổng quan sự kiện

Sự kiện này ban đầu bắt nguồn từ một cuộc điều tra về tấn công. Vào ngày 24 tháng 12 năm 2024, một nhân viên của một công ty đã nhận được email lừa đảo, dẫn đến việc tiện ích trình duyệt mà họ phát hành bị chèn mã độc, cố gắng đánh cắp Cookie và mật khẩu trình duyệt của người dùng. Qua điều tra, phát hiện ra rằng có hơn 30 tiện ích trong cửa hàng tiện ích của Google đã bị tấn công tương tự, bao gồm Proxy SwitchOmega (V3).

Kẻ tấn công đã lấy quyền kiểm soát tài khoản nhà phát triển thông qua một giao diện ủy quyền OAuth giả mạo, sau đó tải lên một phiên bản mở rộng mới chứa mã độc. Bằng cách lợi dụng cơ chế cập nhật tự động của Chrome, người dùng bị ảnh hưởng đã cập nhật lên phiên bản độc hại mà không hay biết.

Báo cáo điều tra chỉ ra rằng, các plugin bị tấn công này đã có tổng số lượt tải xuống vượt quá 500.000 lần trên cửa hàng Google, và hơn 2,6 triệu thiết bị người dùng đã bị đánh cắp dữ liệu nhạy cảm, gây ra rủi ro an ninh lớn cho người dùng. Những tiện ích mở rộng bị chỉnh sửa này đã có mặt trên cửa hàng ứng dụng trong thời gian dài nhất lên đến 18 tháng, trong khi người dùng bị hại hầu như không nhận ra rằng dữ liệu của họ đã bị rò rỉ.

Do vì cửa hàng Chrome dần không hỗ trợ các plugin phiên bản V2, trong khi phiên bản gốc của SwitchyOmega là phiên bản V2, nên cũng nằm trong phạm vi không được hỗ trợ. Phiên bản độc hại bị ô nhiễm là phiên bản V3, tài khoản phát triển của nó khác với tài khoản phiên bản V2 gốc. Hiện tại không thể xác nhận phiên bản này có được phát hành bởi chính thức hay không, cũng như không thể xác định liệu tài khoản phát triển đã bị hacker tấn công và tải lên phiên bản độc hại hay là tác giả của phiên bản V3 vốn đã có hành vi độc hại.

Các chuyên gia an ninh khuyên người dùng kiểm tra ID của các plugin đã cài đặt, xác nhận xem có phải là phiên bản chính thức hay không. Nếu phát hiện plugin đã cài đặt bị ảnh hưởng, nên ngay lập tức cập nhật lên phiên bản an toàn mới nhất, hoặc gỡ bỏ nó để giảm thiểu rủi ro an ninh.

Làm thế nào để ngăn chặn việc plugin bị can thiệp?

Các tiện ích mở rộng trình duyệt luôn là điểm yếu trong an ninh mạng. Để tránh việc các plugin bị can thiệp hoặc tải xuống các plugin độc hại, người dùng cần thực hiện bảo vệ an ninh từ ba khía cạnh: cài đặt, sử dụng và quản lý.

1. Chỉ tải xuống plugin từ các kênh chính thức

   • Ưu tiên sử dụng cửa hàng chính thức của Chrome, đừng tin tưởng các liên kết tải xuống từ bên thứ ba trên mạng.
   • Tránh sử dụng các plugin "bẻ khóa" chưa được xác minh, nhiều plugin đã sửa đổi có thể đã được cài đặt backdoor.

2. Cảnh giác với yêu cầu quyền truy cập của các plugin

   • Cẩn thận cấp quyền, một số plugin có thể yêu cầu quyền không cần thiết.
   • Khi gặp yêu cầu từ plugin để đọc thông tin nhạy cảm, hãy nâng cao cảnh giác.

3. Kiểm tra định kỳ các plugin đã cài đặt

   • Nhập chrome://extensions/ vào thanh địa chỉ Chrome để xem tất cả các tiện ích đã cài đặt
   • Theo dõi thời gian cập nhật gần đây của plugin, nếu plugin lâu không được cập nhật mà đột nhiên phát hành phiên bản mới, cần cảnh giác có thể bị thay đổi.
   • Thường xuyên kiểm tra thông tin nhà phát triển của các plugin, nếu plugin thay đổi nhà phát triển hoặc quyền hạn có sự thay đổi, cần phải nâng cao cảnh giác.

4. Sử dụng công cụ chuyên nghiệp để theo dõi dòng tiền, ngăn chặn mất mát tài sản

   • Nếu nghi ngờ rằng khóa riêng đã bị lộ, bạn có thể sử dụng các công cụ liên quan để giám sát giao dịch trên chuỗi và kịp thời nắm bắt hướng đi của tiền.

Đối với các bên dự án, với tư cách là nhà phát triển và bảo trì plugin, cần áp dụng các biện pháp an ninh nghiêm ngặt hơn để ngăn chặn các rủi ro như can thiệp độc hại, tấn công chuỗi cung ứng, lạm dụng OAuth, v.v.

1. Kiểm soát truy cập OAuth

   • Giới hạn phạm vi ủy quyền, theo dõi nhật ký OAuth
   • Cố gắng sử dụng cơ chế token ngắn hạn + token làm mới, tránh lưu trữ token quyền cao lâu dài.

2. Tăng cường an ninh tài khoản cửa hàng ứng dụng

   • Bật xác thực hai yếu tố
   • Sử dụng quản lý quyền tối thiểu

3. Kiểm toán định kỳ

   • Thực hiện kiểm toán an ninh mã của plugin định kỳ

4. Giám sát plugin

   • Giám sát thời gian thực plugin có bị tấn công hay không
   • Phát hiện vấn đề kịp thời gỡ bỏ phiên bản độc hại, phát hành thông báo an toàn, thông báo cho người dùng gỡ cài đặt phiên bản bị nhiễm.

Làm thế nào để xử lý các plugin đã bị cài đặt mã độc?

Nếu phát hiện plugin đã bị mã độc xâm nhập, hoặc nghi ngờ plugin có thể có rủi ro, khuyên người dùng thực hiện các biện pháp sau:

1. Ngay lập tức gỡ bỏ plugin

   • Truy cập trang quản lý tiện ích mở rộng Chrome, tìm tiện ích bị ảnh hưởng để gỡ bỏ.
   • Xóa hoàn toàn dữ liệu plugin, ngăn chặn mã độc còn sót lại tiếp tục chạy

2. Thay đổi thông tin nhạy cảm có thể bị rò rỉ

   • Thay đổi tất cả mật khẩu đã lưu trong trình duyệt, đặc biệt là những mật khẩu liên quan đến sàn giao dịch tiền điện tử, tài khoản ngân hàng.
   • Tạo ví mới và chuyển giao tài sản an toàn (nếu plugin đã truy cập ví tiền điện tử)
   • Kiểm tra xem API Key có bị lộ hay không, ngay lập tức hủy bỏ API Key cũ và yêu cầu khóa mới

3. Quét hệ thống, kiểm tra xem có cửa hậu hoặc phần mềm độc hại không.

   • Chạy phần mềm diệt virus hoặc công cụ chống phần mềm độc hại
   • Kiểm tra tệp Hosts, đảm bảo không bị thay đổi thành địa chỉ máy chủ độc hại.
   • Kiểm tra công cụ tìm kiếm và trang chủ mặc định của trình duyệt, một số tiện ích độc hại có thể thay đổi các cài đặt này.

4. Giám sát tài khoản có hoạt động bất thường hay không

   • Kiểm tra lịch sử đăng nhập của sàn giao dịch, tài khoản ngân hàng, nếu phát hiện đăng nhập từ IP bất thường, cần ngay lập tức thay đổi mật khẩu và kích hoạt xác thực hai yếu tố.
   • Kiểm tra lịch sử giao dịch của ví tiền điện tử, xác nhận xem có chuyển khoản bất thường nào không
   • Kiểm tra xem tài khoản mạng xã hội có bị đánh cắp hay không, nếu có tin nhắn riêng hoặc bài viết bất thường, cần ngay lập tức thay đổi mật khẩu

5. Phản hồi cho chính thức, ngăn chặn nhiều người dùng khác bị thiệt hại

   • Nếu phát hiện plugin bị can thiệp, bạn có thể liên hệ với đội ngũ phát triển ban đầu hoặc báo cáo cho chính thức Chrome.
   • Có thể liên hệ với đội ngũ an ninh, phát hành cảnh báo rủi ro, nhắc nhở nhiều người dùng chú ý đến an toàn.

Mặc dù tiện ích mở rộng trình duyệt có thể cải thiện trải nghiệm người dùng, nhưng chúng cũng có thể trở thành mục tiêu tấn công của hacker, mang lại rủi ro về rò rỉ dữ liệu và mất mát tài sản. Do đó, người dùng cần giữ cảnh giác trong khi tận hưởng sự thuận tiện, và hình thành thói quen an toàn tốt, chẳng hạn như cẩn thận trong việc cài đặt và quản lý các tiện ích, kiểm tra quyền truy cập định kỳ, kịp thời cập nhật hoặc gỡ bỏ các tiện ích nghi ngờ, v.v. Trong khi đó, các nhà phát triển và các nền tảng cũng nên tăng cường các biện pháp bảo vệ an ninh, đảm bảo an toàn và tính tuân thủ của các tiện ích. Chỉ khi người dùng, nhà phát triển và các nền tảng cùng nhau nỗ lực, nâng cao nhận thức an ninh và thực hiện các biện pháp bảo vệ hiệu quả, thì mới có thể thực sự giảm thiểu rủi ro, bảo vệ an toàn dữ liệu và tài sản.