Google พลาดท่าทำข้อมูลช่องโหว่ร้ายแรงหลุด ทั้งที่ยังไม่มีซอฟต์แวร์แก้ไขออกมารองรับ
ตระกูล Chromium เสี่ยงยกแผง
ทีมงานของ Google เผลอทำข้อมูลรายละเอียดของช่องโหว่ระดับร้ายแรงบนระบบ Chromium หลุดออกสู่สาธารณะโดยไม่ตั้งใจ ซึ่งช่องโหว่นี้มีความน่ากลัวตรงที่มันยอมให้ผู้ไม่หวังดีแอบรันระบบภาษา JavaScript อยู่ในเบื้องหลังของตัวเครื่องได้ตลอดเวลา แม้ว่าผู้ใช้งานจะทำการกดปิดหน้าต่างบราวเซอร์ไปแล้วก็ตาม ความผิดพลาดในครั้งนี้ส่งผลให้ข้อมูลและวิธีการโจมตีถูกเปิดเผยออกไป ทั้งๆ ที่ในความเป็นจริงแล้วทางบริษัทยังไม่ได้ปล่อยตัวอัปเดตเพื่ออุดรอยรั่วนี้อย่างเป็นทางการเลย
จุดเริ่มต้นของเรื่องนี้ต้องย้อนกลับไปในช่วงเดือนธันวาคม 2022 เมื่อนักวิจัยด้านความปลอดภัยนามว่า Lyra Rebane ได้ค้นพบและรายงานปัญหานี้ไปยังระบบตรวจสอบของ Chromium ซึ่งทางทีมงานก็ยอมรับว่าเป็นบั๊กจริง โดยอธิบายว่าตัวอันตรายสามารถสร้างหน้าเว็บปลอมที่แฝงโค้ดประสงค์ร้ายเอาไว้ เมื่อมีคนกดเข้าไปดู โค้ดดังกล่าวจะฝังตัวทำงานค้างในระบบทันที ทำให้นักวิจัยแสดงความกังวลว่า วิธีนี้จะสามารถดึงเครื่องคอมพิวเตอร์ของผู้เคราะห์ร้ายนับหมื่นเครื่องไปสร้างเป็นเครือข่ายบอตเน็ตเพื่อใช้โจมตีทางไซเบอร์ต่อได้ โดยที่เจ้าของเครื่องไม่มีทางรู้ตัวเลยสักนิด
ความล่าช้าในการแก้ไขลากยาวมาจนถึงช่วงปลายปี 2024 และต้นปี 2026 นี้ ซึ่งทางนักพัฒนาของ Google เพิ่งจะสังเกตเห็นว่าปัญหายังไม่ได้รับการสะสาง จนกระทั่งในวันที่ 12 กุมภาพันธ์ที่ผ่านมา ระบบอัตโนมัติได้ทำการขึ้นสถานะว่าแก้ไขเสร็จสิ้นแล้ว พร้อมส่งอีเมลไปแจ้งเตือนและมอบเงินรางวัลนำจับบั๊กจำนวน 1000 ดอลลาร์สหรัฐ หรือแปลงเป็นเงินไทยประมาณ 32600 บาทให้กับนักวิจัยผู้ค้นพบ แต่ความจริงที่น่าตกใจคือ ตัวโค้ดซอฟต์แวร์แก้ไขปัญหานั้นยังไม่ได้ถูกส่งออกไปใส่ไว้ในโปรแกรมเวอร์ชันที่คนทั่วไปใช้งานจริงเลย
ความผิดพลาดครั้งใหญ่เกิดขึ้นในวันที่ 20 พฤษภาคมที่ผ่านมา เนื่องจากระบบของ Chromium กำหนดไว้ว่าหากบั๊กตัวไหนถูกปิดและขึ้นสถานะแก้ไขแล้วเกิน 14 สัปดาห์ ระบบจะเปิดให้คนนอกเข้าถึงข้อมูลได้โดยอัตโนมัติ ทำให้ข้อมูลเชิงลึกทั้งหมดถูกเผยแพร่ออกไปทันที เมื่อ Lyra Rebane เห็นดังนั้นจึงรีบนำบราวเซอร์เวอร์ชันล่าสุดมาทดสอบดู และพบว่าช่องโหว่นี้ยังคงใช้งานได้อยู่เหมือนเดิม ไม่มีอะไรเปลี่ยนแปลง แถมบนระบบของ Edge ยังน่ากลัวขึ้นกว่าเดิมเพราะไม่มีหน้าต่างแจ้งเตือนการดาวน์โหลดเด้งขึ้นมาขัดตา ทำให้การรันโค้ดแอบแฝงนั้นเงียบเชียบและแนบเนียนยิ่งขึ้นไปอีก
เหล่านักวิจัยพบว่าผลกระทบจากเหตุการณ์นี้ไม่ได้จำกัดอยู่แค่เพียงผู้ใช้งาน Google Chrome เท่านั้น แต่ยังลามไปถึงโปรแกรมท่องเว็บยอดนิยมทุกตัวที่พัฒนาขึ้นมาจากโครงสร้าง Chromium เดียวกันทั้งหมด ไม่ว่าจะเป็น Microsoft Edge, Brave, Opera, Vivaldi รวมไปถึง Arc ด้วยเช่นกัน แม้ว่าในเวลาต่อมาหลังจากเกิดเรื่อง ทาง Google จะรีบตั้งค่าล็อกระบบฐานข้อมูลให้กลับมาเป็นส่วนตัวอีกครั้งหนึ่งแล้วก็ตาม แต่ก็ปฏิเสธไม่ได้ว่าระยะเวลาที่ข้อมูลหลุดออกไปนั้นนานพอที่จะทำให้คนที่จ้องจะโจมตีบันทึกข้อมูลสำคัญไปเรียบร้อยแล้ว
ถึงแม้ว่าตัวนักวิจัยจะออกมาช่วยชี้แจงเพิ่มเติมเพื่อลดความตื่นตระหนกว่า บั๊กตัวนี้ไม่ได้ร้ายแรงถึงขั้นทะลุกำแพงความปลอดภัยหลักเข้าไปขโมยไฟล์ข้อมูลส่วนตัวหรือเปิดอ่านอีเมลในเครื่องคอมพิวเตอร์ได้โดยตรง แต่การที่รายละเอียดเชิงลึกหลุดออกไปในตอนที่ยังไม่มีระบบป้องกัน ก็ทำให้ความเสี่ยงของผู้ใช้งานทั่วโลกพุ่งสูงขึ้นอย่างหลีกเลี่ยงไม่ได้ ซึ่งในขณะนี้ทาง Google กำลังเร่งมืออย่างสุดความสามารถเพื่อเตรียมปล่อยตัวอัปเดตฉุกเฉินออกมาแก้ไขสถานการณ์อย่างเร่งด่วนที่สุดturn
