Firefox add-on สวมรอยผู้ใช้ Facebook

Firefox add-on สวมรอยผู้ใช้ Facebook

Firefox add-on สวมรอยผู้ใช้ Facebook

Arip

สนับสนุนเนื้อหา

รายงานข่าวล่าสุด โปรแกรมเสริมการทำงาน (aad-on) ที่แจกฟรีสำหรับ Firefox ตัวหนึ่งยอมให้เข้าถึงบัญชีผู้ใช้ และพาสเวิร์ดที่ไดรับการป้องกันในโซเชียลเน็ตเวิร์ก และเว็บไซต์ต่างๆ ได้อย่างง่ายดาย โดยไม่ต้องขโมยรายละเอียดที่ใช้ในการล็อกอินแต่อย่างใด

Eric Butler ผู้สร้าง add-on ชื่อว่า Firexheep ทีทำงานร่วมกับ Firefox เวอร์ชันบน Windows และ Mac OS X หวังว่า สิ่งที่เขาพัฒนาขึ้นมานี้จะทำให้ Facebook และเว็บไซต์อื่นๆ จะได้แก้ไขระบบรักษาความปลอดภัยให้ดีขึ้น ซอฟต์แวรืดังกล่าวได้ถูกเปิดเผยในงานประชุมแฮคเกอร์ Toorcon ที่จัดขึ้นในซานดิเอโกเมื่อวันอาทิตย์ที่ผ่านมา Butler อธิบายว่า Firesheep จะใช้ข้อได้เปรียบของเทคนิค "sidejacking" ในการเข้าถึงช่องโหว่ของการทำงานของระบบรักษาความปลอดภัยบน เว็บไซต์

เมื่อผู้ใช้ล็อกอินเข้าไปในเว็บไซต์ที่มีระบบรักษาความปลอดภัย พวกเขาจะถูกร้องขอให้พิมพ์ username และ password จากนั้นเซิร์ฟเวอร์จะตรวจสอบว่า บัญชีผู้ใช้ตรงกับ username ที่มีอยู่บนเซิร์ฟเวอร์หรือไม่ หากพบว่ามีก็จะตรวจอสบพาสเวิร์ดว่าตรงกัน หรือเปล่า ซึ่งหากคำตอบทั้งสองอันคือ yes เซิร์ฟเวอร์จะส่ง "cookie" กลับไปยังคอมพิวเตอร์ของผู้ใช้ ซึ่งบราวเซอร์จะใช้ข้อมูลที่ระบุตัวตนที่เป็นหนึ่งเดียวนี้ในการร้องขอ ข้อมูลทุกอย่างจากเซิร์ฟเวอร์ด้วยเซสชั่นที่เกิดขึ้น

ปัญหาที Butler ได้ชี้ให้เห็นก็คือ แม้ข้อมูล password และ login จะปลอดภัยเนื่องจากมีการเข้ารหัสขณะส่งไปยังเซิร์ฟเวอร์ แต่ cookies ที่ส่งกลับมาให้คอมพิวเตอร์ของผู้ใช้กลับไม่ได้มีการป้องกันใดๆ ดังนั้น หากแฮคเกอร์สามารถดักจับ "cookie" นั้นได้ เขาก็จะสามารถทำทุกอย่างได้เช่นเดียวกับยูสเซอร์คนนั้น ตราบใดที่เขายังไม่ได้ log-out ออกจากระบบ และหากผู้ใช้ล็อกออนผ่านเครือข่ายไร้สายที่เปิดให้บริการสาธารณะ "cookie" ที่ว่านี้ก็จะกระจายอยู่ในอากาศ ซึ่งทำให้การโจมตีด้วยวิธีดังกล่าวทำได้ง่ายขึ้นไปอีก

เมื่อ แฮคเกอร์ติดตั้ง Firesheep บน Firefox มันจะมีบาร์ด้านข้างโผล่ขึ้นมาในบราวเซอร์ สิ่งที่แฮคเกอร์ต้องทำก็คือ เชื่อต่อเครือข่ายไร้สาย Wi-Fi สาธารณะ และคลิกปุ่ม "Start Capturing" เพื่อเก็บเกี่ยว cookies ของผู้ใช้แถวนั้น และสวมรอยการใช้งานได้ทันที Butler ออกเครื่องมือนี้มา เพื่อแสดงให้เห็นว่า เขาพบช่องโหว่ของระบบรักษาความปลอดภัยที่อันตรายมากๆ และหวังว่า เว็บไซต์ต่างๆ จะได้แก้ไขปัญหานี้ โดยเฉพาะการเข้ารหัส SSL กับบราวเซอร์แบบ end-to-end

" มีการพัฒนาคุณสมบัติสำหรับการรักษาความเป็นส่วนตัว (privacy) ใหม่ๆ ให้กับผู้ใช้ตลอดเวลา เพื่อปลอบใจผู้ใช้ที่รู้สึกไม่แฮปปี้" Butler โพสต์ไว้ในบล็อก "แต่มันไม่ได้มีประโยชน์อันใดเลย ในเมื่อใคร(ที่ใช้ Firesheep หรือใช้ช่องโหว่ดังกล่าว) ก็สามารถแทนที่บัญชีผู้ใช้ได้เต็มๆ"

Facebook & Twitter security FAIL (& how you can stay safe)

application/x-shockwave-flash" width="560">

[อัพเดตเมื่อเวลา 13:25 น. วันที่ 26 ตุลาคม 2553] รายงาน ข่าวล่าสุด ภายใน 24 ชม. มีการดาวน์โหลด Firesheep ปลั๊กอิน"มหาภัย"ไปแล้ว 104,000 ครั้ง โดยคาดว่า น่าจะมาจากแฮคเกอร์ตัวจริง และผู้ใช้ที่อยากทดลองว่า มันทำได้จริง หรือไม่? งานนี้เจ้าตัวผู้พัฒนา เลยทำคลิปสาธิตการทำงานให้เห็นกันจะๆ ไปเลย

ข้อมูลจาก: net-security

Advertisement Replay Ad
Google ยอมขยายให้ระบบคำสั่งเสียง Google Assistant ไปใช้งานได้กับ Android รุ่นเก่า

Google ยอมขยายให้ระบบคำสั่งเสียง Google Assistant ไปใช้งานได้กับ Android รุ่นเก่า

Adobe อัปเดทให้ Lightroom รองรับการแต่งผ่านอัตโนมัติ โดยใช้ AI

Adobe อัปเดทให้ Lightroom รองรับการแต่งผ่านอัตโนมัติ โดยใช้ AI

Google ประเทศไทย เผยสุดยอดคำค้นหายอดนิยมประจำปี 2017

Google ประเทศไทย เผยสุดยอดคำค้นหายอดนิยมประจำปี 2017

หลุดภาพ Nokia Camera Apps ตัวใหม่รองรับการถ่ายภาพมุมกว้าง ก่อนใช้จริงใน Nokia 9

หลุดภาพ Nokia Camera Apps ตัวใหม่รองรับการถ่ายภาพมุมกว้าง ก่อนใช้จริงใน Nokia 9

iPhone 8 ติดอันดับคำค้นหายอดนิยมที่สุดในปี 2017 จาก Google

iPhone 8 ติดอันดับคำค้นหายอดนิยมที่สุดในปี 2017 จาก Google

ใหม่ล่าสุด! LOOX TV แอปพลิเคชั่นของคนติดจอ พกติดเครื่องไว้ ไม่ตกเทรนด์

ใหม่ล่าสุด! LOOX TV แอปพลิเคชั่นของคนติดจอ พกติดเครื่องไว้ ไม่ตกเทรนด์

โหลดกันเร็ว iOS11.2.1 เวอร์ชั่นใหม่แก้ปัญหากล้องบน iPhone 8, 8 Plus และ iPhone X

โหลดกันเร็ว iOS11.2.1 เวอร์ชั่นใหม่แก้ปัญหากล้องบน iPhone 8, 8 Plus และ iPhone X

Google Maps Go โปรแกรมแผนที่รุ่นเล็กน้ำหนักเบา พร้อมให้โหลดบน Google Play Store แล้ววันนี้

Google Maps Go โปรแกรมแผนที่รุ่นเล็กน้ำหนักเบา พร้อมให้โหลดบน Google Play Store แล้ววันนี้

อัปเดทราคา iPhone 8 และ iPhone 8 Plus ลดแรงกว่าที่คาด

อัปเดทราคา iPhone 8 และ iPhone 8 Plus ลดแรงกว่าที่คาด

ข่าวดี App Store เพิ่มฟีเจอร์ สั่งจอง Application ล่วงหน้าได้นานสุดที่ 90 วัน

ข่าวดี App Store เพิ่มฟีเจอร์ สั่งจอง Application ล่วงหน้าได้นานสุดที่ 90 วัน

หลุดรายละเอียดของ Nokia 6 (2018) ครบทั้งภาพเครื่องและสเปค

หลุดรายละเอียดของ Nokia 6 (2018) ครบทั้งภาพเครื่องและสเปค

สิ้นสุดการรอคอย Apple ประกาศวันจำหน่าย iMac Pro เจอกัน 14 ธันวาคมนี้

สิ้นสุดการรอคอย Apple ประกาศวันจำหน่าย iMac Pro เจอกัน 14 ธันวาคมนี้

เผยรายชื่อ Android Wear รุ่นที่จะได้ไปต่อใน Android Oreo แน่นอน

เผยรายชื่อ Android Wear รุ่นที่จะได้ไปต่อใน Android Oreo แน่นอน

Vivo เปิดตัว Y65 มือถือรุ่นเล็กแสนบางแต่สเปคจัดว่าดี

Vivo เปิดตัว Y65 มือถือรุ่นเล็กแสนบางแต่สเปคจัดว่าดี

เผยภาพ Render ของ Samsung Galaxy S9 และ S9+ จากฟีเจอร์ที่หลุดมาก่อนหน้านี้

เผยภาพ Render ของ Samsung Galaxy S9 และ S9+ จากฟีเจอร์ที่หลุดมาก่อนหน้านี้

รู้หรือไม่? สมาร์ทโฟนอะไรที่ติดเทรนด์ฮิตจนขึ้นเสิร์ชอันดับ 1 กว่า 7 สัปดาห์ซ้อน!

รู้หรือไม่? สมาร์ทโฟนอะไรที่ติดเทรนด์ฮิตจนขึ้นเสิร์ชอันดับ 1 กว่า 7 สัปดาห์ซ้อน!

Instagram เปิดให้ติดตามเรื่องราวจาก Hashtag ได้แล้ววันนี้

Instagram เปิดให้ติดตามเรื่องราวจาก Hashtag ได้แล้ววันนี้

Line เพิ่มปุ่ม Unsent ลบข้อความที่ส่งผิดภายในเวลา 24 ชั่วโมง

Line เพิ่มปุ่ม Unsent ลบข้อความที่ส่งผิดภายในเวลา 24 ชั่วโมง

เมื่อนางฟ้าแห่งวงการบันเทิง "ญาญ่า อุรัสยา" จับงานโฆษณามือถือครั้งแรก

เมื่อนางฟ้าแห่งวงการบันเทิง "ญาญ่า อุรัสยา" จับงานโฆษณามือถือครั้งแรก

ผู้ใช้ iPhone 6S พบความลับ การเปลี่ยนแบตเตอรี่ใหม่ ช่วยทำให้ตัวเครื่องประมวลผลได้เร็วขึ้น

ผู้ใช้ iPhone 6S พบความลับ การเปลี่ยนแบตเตอรี่ใหม่ ช่วยทำให้ตัวเครื่องประมวลผลได้เร็วขึ้น

ส่งอีเมล์ให้เพื่อน

ส่งให้เพื่อนหลายคนใส่ “,” (ส่งพร้อมกันมากสุด 50 อีเมล์)

ส่งอีเมล์