Google Chrome เว็บเบราว์เซอร์เป็นเว็บเบราว์เซอร์ที่ใช้กันอย่างแพร่หลายมากที่สุดโดยผู้ใช้ทั่วโลก อันที่จริง สถิติเมื่อปลายปีที่แล้วระบุว่าผู้ใช้อินเทอร์เน็ตมากกว่า 65% ใช้เบราว์เซอร์นี้ ไกลออกไปเรามีเบราว์เซอร์อื่น ๆ เช่น Firefox หรือ Safari สำหรับ Apple คอมพิวเตอร์ อย่างไรก็ตาม ในช่วงไม่กี่ปีที่ผ่านมามีช่องโหว่ที่ร้ายแรงมากขึ้นในเบราว์เซอร์ของ Google เหตุใดจึงเป็นเช่นนี้ เหตุใดจึงไม่มีข้อบกพร่องด้านความปลอดภัยมากมายนักทั้งก่อนและตอนนี้ วันนี้ในบทความนี้เราจะอธิบายให้คุณฟัง
ช่องโหว่ปรากฏขึ้นมากขึ้นเรื่อยๆ
ในบล็อกความปลอดภัยของ Google เราพบข้อบกพร่องด้านความปลอดภัยในเบราว์เซอร์ Chrome มากขึ้นเรื่อยๆ ดูเหมือนว่ามีข้อบกพร่องด้านความปลอดภัยที่เพิ่มขึ้นอย่างมีนัยสำคัญที่พบ และวิธีที่อาชญากรไซเบอร์ใช้ประโยชน์จากการเปิดช่องโหว่และพยายามแพร่ระบาดผู้ใช้ ผู้ใช้ อย่างไรก็ตาม เนื่องจากพวกเขาแสดงความคิดเห็นในบล็อกความปลอดภัยอย่างเป็นทางการ กลับไม่เป็นเช่นนั้น
สาเหตุหลักที่ Chrome ตอนนี้ดูเหมือนว่าจะมีข้อบกพร่องด้านความปลอดภัยมากขึ้นก็เพราะว่า มีทัศนวิสัยมากขึ้นสำหรับผู้โจมตี อันที่จริงนี่เป็นสิ่งที่ดี เพราะมันหมายความว่าพวกเขาสามารถตอบสนองต่อช่องโหว่เหล่านี้ด้วยแพตช์ได้เร็วกว่าเมื่อก่อนมาก โดยมีวัตถุประสงค์ในการปกป้องผู้ใช้ เมื่อสองสามปีก่อน ช่องโหว่ใน Chrome ไม่มีการเปิดเผยมากนัก แม้ว่าอาจดูเหมือนไม่มีข้อผิดพลาด แต่ก็มี แต่ "ซ่อนอยู่" ตอนนี้สิ่งนี้ได้เปลี่ยนแปลงไปอย่างสิ้นเชิง และทำให้ Google สามารถแก้ปัญหาได้เร็วกว่ามาก นอกจากนี้ พวกเขายังได้เรียนรู้วิธีการทำงานของผู้โจมตีจริงด้วย
ทีมงาน Project Zero ของ Google ได้ติดตามจุดบกพร่องด้านความปลอดภัยซีโร่เดย์ทั้งหมดอย่างเปิดเผย กล่าวคือ ช่องโหว่ที่ไม่รู้จักซึ่งผู้โจมตีใช้เพื่อประโยชน์ของตน ในกราฟต่อไปนี้ คุณสามารถดูเว็บเบราว์เซอร์หลักและข้อบกพร่องด้านความปลอดภัยที่เกี่ยวข้อง โดยให้ความสนใจเป็นพิเศษกับ Flash ที่หมดอายุในขณะนี้และรวมถึง WebKit ด้วยเช่นกัน แม้ว่าจะไม่ใช่เบราว์เซอร์ แต่ก็เป็นหรือเป็นส่วนหนึ่งของเบราว์เซอร์ในลักษณะที่สำคัญมาก
อย่างที่คุณเห็น ระหว่างปี 2015 ถึง 2018 ดูเหมือนว่า Google Chrome ไม่มีข้อบกพร่องด้านความปลอดภัย ซึ่งเป็นสิ่งที่ไม่สามารถทำได้ ทีมงานไม่ได้ตรวจพบ 0 วันใด ๆ ในช่วงหลายปีที่ผ่านมา แต่นั่นไม่ได้บ่งชี้ว่าไม่มีเลยและพวกเขาถูกเอารัดเอาเปรียบโดยอาชญากรไซเบอร์ ในปี 2019 ข้อบกพร่องด้านความปลอดภัยใน Chrome ได้เติบโตขึ้นอย่างมาก แต่นั่นเป็นเพราะพวกเขามองเห็นได้ชัดเจนกว่าเมื่อก่อน กล่าวคือ มีความโปร่งใสมากขึ้นด้วย 0 วัน
อีกเหตุผลหนึ่งที่เจ้าหน้าที่ของ Google ให้ความเห็นก็คือเพราะ Chrome ยังคงเติบโตและเพิ่มส่วนแบ่งการใช้งาน ซึ่งหมายความว่าอาชญากรไซเบอร์ให้ความสำคัญกับเว็บเบราว์เซอร์นี้มากขึ้นเพราะอาจส่งผลกระทบต่อผู้ที่อาจเป็นเหยื่อมากขึ้น อาชญากรไซเบอร์มักต้องการทำเงิน และเป้าหมายของพวกเขาพยายามที่จะเป็นจำนวนมาก โดยมีเป้าหมายเพื่อสร้างความเสียหายให้มากที่สุด มันไม่สมเหตุสมผลเลยที่จะใช้ทรัพยากรจำนวนมากในเว็บเบราว์เซอร์ที่ไม่ค่อยได้ใช้ เพราะผู้ที่อาจเป็นเหยื่อจะมีเพียงไม่กี่คน เราควรจำไว้ด้วยว่าก่อนปี 2019 Flash จะถูกโจมตีเสมอ เนื่องจากเป็นซอฟต์แวร์ที่แอบแฝงอยู่ 0 วันอย่างแท้จริง และเมื่อหายตัวไป อาชญากรไซเบอร์ก็ให้ความสำคัญกับ Chrome มากขึ้น
เราควรระลึกไว้เสมอว่าก่อนหน้านี้จำเป็นต้องมีความล้มเหลวเพียง 0 วันในการประนีประนอมเว็บเบราว์เซอร์ ตอนนี้จำเป็นต้องมีอย่างน้อยสองครั้ง ความล้มเหลวครั้งแรกจะทำหน้าที่ในการรันโค้ด และความล้มเหลวอื่นจะทำให้โค้ดนี้ออกจากแซนด์บ็อกซ์ที่ Chrome ใช้ ดังนั้นสถิตินี้จึง "เพิ่มขึ้น" สุดท้ายนี้ เบราว์เซอร์ Chrome นั้นซับซ้อนกว่าเมื่อก่อนมาก และทำให้เกิดข้อผิดพลาดในการเขียนโปรแกรมและจำนวน 0 วันที่เป็นไปได้เพิ่มขึ้น เพื่อลดปัญหานี้เล็กน้อย พวกเขายังคงปรับปรุงแซนด์บ็อกซ์เพื่อแยกหน้าเว็บทั้งหมด
โดยสรุป สาเหตุที่ตอนนี้ Chrome ดูเหมือนจะมีข้อบกพร่องด้านความปลอดภัยมากกว่านั้นคือ:
- ความโปร่งใสมากขึ้นเมื่อสื่อสารข้อบกพร่องด้านความปลอดภัย 0 วันกับผู้ใช้
- วิวัฒนาการของผู้โจมตีพวกเขาได้ละทิ้ง Flash เพื่อมุ่งเน้นไปที่ความนิยมของ Chrome
- ต้องใช้จุดบกพร่องด้านความปลอดภัยอย่างน้อยสองจุด แทนที่จะเป็นจุดบกพร่องเพียงจุดเดียวในการประนีประนอมกับกระบวนการแสดงผลและแซนด์บ็อกซ์ ซึ่งจะทำให้สถิติทวีคูณขึ้น เป็นไปได้เช่นกันที่ความล้มเหลวหลายครั้งอาจต้องเชื่อมโยงเข้าด้วยกันเพื่อให้สำเร็จเป็นขั้นตอนเดียว
- ซอฟต์แวร์ที่ซับซ้อนมากขึ้นและข้อผิดพลาดในการเขียนโปรแกรมที่เป็นไปได้มากขึ้น
แม้ว่าจะมีข้อบกพร่องมากขึ้นเรื่อยๆ ก็ตาม ทีมงาน Chrome มีส่วนร่วมอย่างมากในหลายโครงการที่มีจุดมุ่งหมายเพื่อให้มีการรักษาความปลอดภัยที่ดีที่สุด:
- ปรับปรุงการแยกเว็บไซต์ โดยเฉพาะบน Android
- Heap sandbox: จะป้องกันผู้โจมตีจากการใช้จุดบกพร่องในการรวบรวม JavaScript JIT
- โครงการ MiraclePtr และ *Scan เพื่อหลีกเลี่ยงการใช้บั๊กของกระบวนการเบราว์เซอร์ที่ใหญ่ที่สุด
- เขียนส่วนต่างๆ ของ Chrome ด้วยภาษาการเขียนโปรแกรมที่ปลอดภัยสำหรับหน่วยความจำ ซึ่งโดยทั่วไปแสดงถึงจุดบกพร่องด้านความปลอดภัยที่สามารถใช้ประโยชน์ได้มากถึง 70%
- วิธีการลดข้อผิดพลาด 0 วัน
อย่างที่คุณเห็น แม้ว่าจำนวนการแจ้งเตือน 0 วันจาก Chrome จะเพิ่มขึ้น แต่ก็ไม่ได้หมายความว่าไม่เคยมีมาก่อน เพียงแต่ไม่ได้สื่อสารกัน
