
ที่มาภาพ: The Hacker News
ช่องโหว่ใน Opera GX ทำให้เว็บอันตรายติดแอด‑ออนโดยอัตโนมัติและขโมยข้อมูล Gmail ของผู้ใช้
⚡ สรุป 30 วิ
นักวิจัยพบช่องโหว่ในฟีเจอร์แอด‑ออนของ Opera GX ที่ให้เว็บไซต์อันตรายดาวน์โหลดและติดตั้งส่วนเสริมโดยไม่ต้องยืนยัน ผู้ใช้ที่กำลังล็อกอิน Gmail สามารถถูกสกัด…
Lead paragraph ผู้วิจัยด้านความปลอดภัยพบช่องโหว่ใน Opera GX เวอร์ชันที่ออกแบบมาสำหรับเกมเมอร์ ซึ่งทำให้เว็บไซต์อันตรายสามารถติดตั้งส่วนเสริมของเบราว์เซอร์โดยอัตโนมัติและดึงข้อมูลจากหน้าที่ผู้ใช้เยี่ยมชมได้ทันที การทดสอบแนวคิดพิสูจน์ (proof‑of‑concept) แสดงให้เห็นว่าเพียงการเข้าชมหน้าเดียวก็สามารถสกัด ที่อยู่อีเมล Gmail เต็มรูปแบบของผู้ใช้ที่ล็อกอินอยู่โดยไม่ต้องคลิกใด ๆ
Overview
Opera GX เป็นเบราว์เซอร์รุ่นพิเศษจาก Opera ที่เพิ่มฟีเจอร์เช่นการจำกัดการใช้ทรัพยากรคอมพิวเตอร์และธีมเกมเมอร์เพื่อสร้างประสบการณ์ที่ปรับแต่งได้สำหรับผู้เล่น การออกแบบนี้ทำให้มันได้รับความนิยมในกลุ่มผู้ใช้ที่ต้องการควบคุม CPU, RAM และเครือข่ายขณะเล่นเกม อย่างไรก็ตาม ความเฉพาะเจาะจงของฟีเจอร์อาจเป็นช่องทางเปิดให้แฮกเกอร์หาช่องโหว่ได้ง่ายขึ้น
จากรายงานของทีมวิจัย พบว่าช่องโหว่นี้อยู่ในกระบวนการจัดการส่วนเสริม (add‑on) ของ Opera GX โดยเว็บไซต์ที่ได้รับการเจาะจะสามารถส่งคำสั่งให้เบราว์เซอร์ดาวน์โหลดและติดตั้งส่วนเสริมโดยอัตโนมัติ แม้ผู้ใช้ไม่ได้ให้อนุญาตหรือคลิกยืนยันใด ๆ กระบวนการนี้ทำงานในพื้นหลังและไม่แสดงข้อความเตือนต่อผู้ใช้
Technical Details
ช่องโหว่เกิดจากการตรวจสอบความถูกต้องของส่วนเสริมที่ไม่เพียงพอ เมื่อเว็บไซต์ส่งไฟล์ส่วนเสริมพร้อมกับคำสั่ง JavaScript ที่เรียกใช้งาน API ของเบราว์เซอร์ ระบบจะยอมรับและติดตั้งโดยไม่มีขั้นตอนยืนยันผู้ใช้ ตัวส่วนเสริมที่ติดตั้งแล้วสามารถเข้าถึง DOM ของหน้าเว็บที่กำลังแสดงอยู่และดึงข้อมูลเฉพาะที่นักวิจัยต้องการ
ในขั้นตอน proof‑of‑concept นักวิจัยได้สร้างเว็บไซต์อันตรายซึ่งเมื่อผู้เยี่ยมชมเข้าไปโดยที่ยังล็อกอินเข้าสู่ Gmail อยู่ ระบบจะสกัดค่า `email` จากคุกกี้และโครงสร้างของหน้าเว็บ Gmail เพื่อนำกลับมาแสดงเป็นที่อยู่อีเมลเต็มรูปแบบ การสกัดนี้ทำได้ภายในหนึ่งคลิก (หรือแม้แต่ไม่มีการคลิก) และไม่ทิ้งร่องรอยบนหน้าจอผู้ใช้
Impact
ข้อมูล Gmail address ของผู้ใช้ถือเป็นข้อมูลส่วนบุคคลที่สำคัญ เพราะมักถูกใช้เป็นตัวระบุตัวตนในบริการออนไลน์หลายประเภท หากแฮกเกอร์สามารถเข้าถึงที่อยู่อีเมลเต็มรูปแบบได้ พวกเขาอาจนำไปทำการฟิชชิง, สร้างบัญชีปลอม หรือเชื่อมโยงกับข้อมูลส่วนบุคคลอื่น ๆ ที่เก็บไว้ใน Google Account
ผู้ใช้ Opera GX ประมาณหลายแสนคนทั่วโลกที่ยังไม่ได้รับการอัปเดตอาจตกอยู่ในความเสี่ยงดังกล่าว แม้ว่าจะไม่มีหลักฐานชัดเจนว่ามีการโจมตีจริงเกิดขึ้นตามข้อมูลจาก Opera แต่ความเป็นไปได้ของการใช้ช่องโหว่นี้เพื่อทำร้ายผู้ใช้จำนวนมากยังคงสูง
Response from Opera
หลังได้รับแจ้งจากทีมวิจัย Opera ได้ออกอัปเดตแพตช์ที่แก้ไขปัญหาการตรวจสอบส่วนเสริมโดยเพิ่มขั้นตอนยืนยันและการตรวจสอบลายเซ็นดิจิทัลของไฟล์ที่ติดตั้ง ระบบได้ระบุว่าไม่มีหลักฐานใดบ่งชี้ว่าช่องโหว่นี้เคยถูกใช้ในทางอันตรายจริง และแนะนำให้ผู้ใช้ทำการอัปเดตเบราว์เซอร์เป็นเวอร์ชันล่าสุดโดยเร็ว
Opera ยังเตือนผู้ใช้ให้ตรวจสอบประวัติส่วนเสริมที่ติดตั้งอยู่แล้วและลบส่วนเสริมที่ไม่คุ้นเคยออกจากระบบ นอกจากนี้ บริษัทได้สัญญาว่าจะเพิ่มการตรวจสอบความปลอดภัยในขั้นตอนพัฒนาฟีเจอร์ใหม่ ๆ เพื่อลดโอกาสเกิดช่องโหว่คล้ายกันในอนาคต
Analysis
การเปิดเผยช่องโหว่นี้ชี้ให้เห็นถึงข้อจำกัดของระบบ add‑on sandbox ในเบราว์เซอร์ที่เน้นประสบการณ์ผู้ใช้เป็นหลัก การออกแบบ UX ที่ต้องการความเร็วและความสะดวกอาจทำให้ขั้นตอนตรวจสอบด้านความปลอดภัยถูกละเลย บทเรียนสำคัญคือแม้แต่ฟีเจอร์ที่ดูเหมือนจะ “เฉพาะกลุ่ม” อย่าง Opera GX ยังคงต้องปฏิบัติตามมาตรฐานความปลอดภัยเดียวกับเบราว์เซอร์หลัก
จากมุมมองของผู้ใช้ การอัปเดตซอฟต์แวร์อย่างสม่ำเสมอยังคงเป็นวิธีที่มีประสิทธิภาพที่สุดในการปกป้องตนเองจากช่องโหว่ที่ยังไม่ถูกเปิดเผย (zero‑day) นักวิจัยด้านความปลอดภัยหลายรายได้เน้นย้ำว่าผู้ใช้ควรหลีกเลี่ยงการติดตั้งส่วนเสริมจากแหล่งที่ไม่น่าเชื่อถือและตรวจสอบสิทธิ์การเข้าถึงของแต่ละส่วนเสริมเป็นประจำ
Future Outlook
ในยุคที่เกมเมอร์และผู้ใช้งานหลายคนเลือกเบราว์เซอร์ที่มีฟีเจอร์เฉพาะเพื่อเพิ่มประสบการณ์ การรักษาความปลอดภัยให้สอดคล้องกับความต้องการเหล่านี้จะกลายเป็นความท้าทายสำคัญของผู้ผลิตซอฟต์แวร์ บริษัทรุ่นใหญ่เช่น Opera จำเป็นต้องจัดตั้งกระบวนการตรวจสอบอิสระและทำงานร่วมกับชุมชนผู้วิจัยเพื่อค้นหาช่องโหว่ก่อนที่แฮกเกอร์จะใช้ประโยชน์
นอกจากนี้ แนวโน้มของ “auto‑install add‑on” ที่พบใน Opera GX อาจกระตุ้นให้หน่วยงานกำกับดูแลด้านความปลอดภัยดิจิทัลพิจารณากฎระเบียบใหม่ เพื่อบังคับใช้มาตรฐานการตรวจสอบส่วนเสริมที่เข้มงวดยิ่งขึ้นและเพิ่มระดับการแจ้งเตือนแก่ผู้ใช้ในทุกขั้นตอนของการติดตั้ง
Summary
ช่องโหว่ใน Opera GX ที่ทำให้เว็บไซต์อันตรายสามารถติดตั้งส่วนเสริมโดยอัตโนมัติและสกัดข้อมูล Gmail ได้ถูกค้นพบและแก้ไขแล้วโดย Opera ซึ่งระบุว่าไม่มีหลักฐานว่ามีการใช้โจมตีจริง ผู้ใช้ควรอัปเดตเบราว์เซอร์ทันทีและตรวจสอบส่วนเสริมที่ติดตั้งอยู่เพื่อป้องกันความเสี่ยงต่อไป.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Opera GX Flaw Let Malicious Sites Auto-Install Mods to Steal Data From Visited Pages
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 6 กรกฎาคม 2569 เวลา 14:27



