US CERT ออกประกาศแจ้งเตือนช่องโหว่เบราว์เซอร์ที่สามารถถูกยิงคุกกี้เข้าไปยังเว็บที่เข้ารหัสได้ และทำให้ผู้ใช้ถูกหลอกให้กรอกข้อมูลทั้งที่กำลังใช้งานอยู่ในเว็บเข้ารหัส

การยิงคุกกี้ (cookie injection) ทำได้เพราะนักพัฒนาเว็บสามารถกำหนดได้ว่าคุกกี้จะใช้งานเฉพาะ HTTPS ด้วยการต่อท้ายคุกกี้ด้วยข้อความ "secure" แต่การกำหนดนี้สามารถกำหนดขณะใช้งาน HTTP ที่ไม่เข้ารหัสก็ได้

แนวทางการโจมตี แฮกเกอร์จะต้องดักฟังการเชื่อมต่อที่ไม่เข้ารหัส และปลอมตัวเป็นเว็บโดเมนเดียวกัน ส่งข้อมูลเว็บแบบไม่เข้ารหัสไปยังเบราว์เซอร์เพื่อให้เบราว์เซอร์ตั้งค่าคุกกี้ในโดเมนที่เข้ารหัสแล้ว

การโจมตีที่เป็นไปได้ เช่น การขโมยข้อมูลค้นหา ด้วยการสมัครสมาชิกเว็บค้นหาเช่นกูเกิล แล้วยิงคุกกี้ให้เหยื่อล็อกอินด้วยบัญชีของแฮกเกอร์โดยไม่รู้ตัว แล้วมาดาวน์โหลดประวัติการค้นหาออกไปภายหลัง หรือการขโมยเงินด้วยการยิงให้บัญชีรับเงินฝากกลายเป็นบัญชีของแฮกเกอร์ไป

ทางแก้ไขในตอนนี้ต้องอาศัยเว็บให้รองรับ HSTS ที่บังคับให้เบราว์เซอร์ต้องเชื่อมต่อ HTTPS เสมอ

งานวิจัยนี้เสนอในงาน USENIX (PDF) ตั้งแต่เดือนที่แล้ว

ที่มา - US-CERT