Blog feeds may carry security risk

การอ่าน blogs ผ่านทาง RSS หรือ Atom feeds ซึ่งกำลังเป็นที่นิยมอยู่ในขณะนี้นะครับอาจจะเปิดโอกาสให้เหล่า Hacker โจมตีได้ง่ายๆ ผู้เชี่ยวชาญด้านความปลอดภัยแจ้งเตือนนะครับ

เหล่าผู้โจมตีหรือว่า Hacker อาจจะใส่ code Javascript ที่ประสงค์ร้ายในบทความ ซึ่งจะถูกส่งถึงทางผู้อ่านที่สมัครรับข้อมูลผ่านช่องทาง Feeds ทั้งหลายไม่ว่าจะเป็นรูปแบบ RSS(Really Simple Syndication) หรือ Atom. Bob Auger, วิศวกรด้านความปลอดภัย ของบริษัท web sesurity SPI Dynamics กล่าวว่าในขณะทีแสดงปาฐกถา เรือง Black Hat Security.

Bob Auger กล่าวว่าปัญหาไม่ได้มีผลกระทบเพียงแค่ blogs เท่านั้น Feed information ทุกชนิดที่ใช้ Feed ทุกๆรูปแบบ เป็นไปได้ที่อาจมีการใช้ การส่งผ่านบทความที่ประสงค์ร้ายไปยังผู้ที่สมัครรับ Feed, ซึ่งเปิดโอกาสให้ผู้ใช้สมัครรับข้อมูล ไม่ว่าจะเป็น mailing list หรือ news websites ผ่านทาง RSS, ซึ่งเว็บไซต์ หรือว่า blogs ต่างๆ กำลังทำอยู่ในขณะนี้นะครับ.

SPI Dynamics ได้ทำการทดสอบโปกแกรมที่ใช้ในการอ่าน RSS และ Atom ทั้ง online และ offline ในหลายกรณีที่พบว่า code JavaScript ที่ถูกส่งผ่านช่องทาง Feed ไป run ยังเครื่องของผู้ใช้ ซึ่งย่อมหมายความว่ามันสามารถที่จะโจมตีเป้าหมายอย่างง่ายดาย Auger กล่าวว่า JavaScript คือภาษา script ซึ่งน่าเป็นห่วงว่าจะเป็นสาเหตุของการ โจมตีเพิ่มมากขึ้น.

ผู้โจมตีอาจจะใช้โอกาสในการโจมตี โดยการทำ blog ขึ้นมาแล้วก็ ล่อลวงให้ผู้ใช้ สมัครรับ RSS Feed ในขณะเดียวกันเขาก็ทำ code Javascript ที่ประสงค์ร้ายไว้ด้วย หรือว่าเขาอาจจะ เพิ่ม code JavaScript ที่ประสงค์ร้าย ผ่านทาง comments ใน blog ที่น่าเชื่อถือ Auger กล่าวว่า blogs จำนวนมากจะเปิดโอกาสให้ user coment ได้และติด comment เหล่านั้นไว้ใน RSS Feeds ของพวกเขาด้วย

ผู้โจมตีอาจจะส่ง code ที่ประสงค์ร้ายทาง mailing lists ซึ่งให้บริการ RSS หรือ Atom Feeds เข้าควบคุมระบบที่อ่อนแอในทางนี้ก็เป็นได้ครับ ในตอนนี้ Feeds เป็นที่นิยมกันอย่างแพร่หลาย เพราะว่าทำให้ผู้ใช้เข้าถึงข้อมูลที่ update ใหม่ ในหลายเวบไซต์ หรือหลายๆ blog พร้อมกันโดยผ่านทางโปรแกรมเพียงแค่โปรแกรมเดียวที่เรียกว่า feeds reader ไม่จำเป็นต้องเปิดผ่านทาง Brower อีกต่อไป.

โปรแกรม Feeds reading หลายๆโปรแกรมในขณะนี้มีข้อบกพร่องอยู่มาก เพราะว่านักออกแบบยังไม่สามารถเพิ่มระบบความปลอดภัยที่มีประโยชน์ ให้กับโปรแกรมเหล่านี้ได้ Auger กล่าวว่าโปรแกรมเหล่านี้ไม่ควรปล่อยให้ JavaScript ที่รวมอยู่ใน Feeds เหล่านี้ run ได้อย่างอิสระ ในทางกลับกัน มันควรจะมีการกลั่นกรองซะก่อน.

Software ที่ใช้ในการอ่าน RSS บางโปรแกรมที่ run บนระบบปฏิบัติการ windows ใช้โปรแกรม Internet Explorer ในการแสดงผลบทความที่ Feeds แต่ว่าไม่ได้เรียกใช้ระบบความปลอดภัยพื้นฐานของตัวโปรแกรมด้วย JavaScript เลยถูกโหลดเข้ายัง PC ของผู้ใช้ ได้อย่างเต็มที่ ซึ่งสามารถที่เป็นอันตรายต่อ PC ได้อย่างแน่นอน.

ซึ่ง Auger กล่าวว่า เขาได้ทำการทดสอบโปรแกรมอ่าน RSS หลายๆโปรแกรมเป็นต้นว่า Bloglines,RSS Reader (ตัวนี้ผมเองก็ใช้อยู่เป็นประจำจะเป็นไรมั้ยเนี่ย),RSS Owl,Feed Demon,และก็ Sharp Reader ซึ่งโปรแกรมเหล่านี้ล้วนแต่เป็นโปรแกรมที่ถูกโจมตีได้ง่ายๆทั้งสิ้น.

ในด้านการป้องกันนั้น Auger กล่าวว่า ผู้ใช้ควรที่จะเปลี่ยนพฤติกรรมควรระมัดระวัง มากขึ้น (non-vulneraber reader) อีกทั้งผู้ที่ผลิต Feeds ทั้งหลาย ควรที่จะตรวจสอบให้มั่นใจ ว่าfeeds ของพวกเขานั้นไม่มี code JavaScript ที่ประสงค์ร้ายรวมอยู่ด้วยอย่างแน่นอนก่อนที่จะส่งไปยังผู้บริโภคอย่างเราๆ ท่านๆ ทั้งหลาย.

Source ustoday