Web-of-Trust (WOT) เป็น add-on ใน Firefox ที่มียาวนานมาก WOT จะเป็นตัวที่ใช้ในการเช็คความน่าเชื่อถือของเว็บไซด์ใดๆที่เราจะเข้าหรือ link ใดๆที่อยู่ในเพจที่เรากำลังอ่านอยู่ โดยหลักการทำงานของ WOT คือการส่ง link ทั้งหมดที่สามารถ click ได้ในเพจที่เราอ่าน ส่งไปยังระบบส่วนกลาง หลังจากระบบ review จากนั้นจะส่งผล score review ของแต่ละ link ทั้งหมดกลับมาให้ plugin แล้ว plugin จะมีการเพิ่มวงกลมต่อท้าย link นั้นๆ โดยหาก link นั้นปลอดภัยจะเป็นวงกลมสีเขียว หากเป็น link ที่มีความเสี่ยงจะเป็นวงกลมสีแดงต่อท้าย

จาก record ของทาง WOT มีผู้ใช้งาน plugin นี้อยู่ทั้งสิ้น 140 ล้าน user แต่ ณ ปัจจุบันถูก Firefox แจ้งเตือนและ disable by default plugin ไปเสียแล้ว

โดย Firefox ให้เหตุผลว่า “WOT Version 20170120 และต่ำกว่ามีการส่งข้อมูลของ user ไปยัง service ที่มากเกินไป ซึ่งเป็นการ share ข้อมูลกับ third party โดยขาดคัดกรองข้อมูลอย่างมีประสิทธิภาพ, การกระทำของ version ดังกล่าวส่งผลให้เกิดช่องโหว่ที่นำไปสู่ remote code execution ได้”

ปัญหาดังกล่าวไม่ใช่สิ่งที่เพิ่งจะเกิดขึ้น

ในช่วงฤดูใบไม้ร่วง 2016, หน่วยงาน German public radio และ television broadcaster Norddeutscher Rundfunk (NDR)  ได้ประกาศออกมาว่า WOT มีการสร้าง profile ของ user โดยประกอบไปด้วย user ID ที่มีเวลา, ตำแหน่ง และเพจที่ดูอยู่ โดยข้อมูล profile เหล่านั้นถูกเก็บใน WOT อย่างลับๆ

Mozilla ได้รับ report เมื่อประมาณวันที่ 1 พย. 2016 และ 1 วันหลังจากนั้น ทาง Rob Wu เผยผลการทดสอบ WOT ที่มาพร้อมกับปัญหาใหญ่คือ WOT สามารถถูกสั่งให้รันคำสั่งจากเว็บเพจใดๆก็ได้ นั่นหมายความว่าบริษัทสามารถทำให้ user ติด malware, หรือขโมยข้อมูลทางธนาคารได้ หากต้องการจะทำ

Firefox ได้เอา WOT ออกจาก list add-on ของ Firefox ใน addons.mozilla.org ไปแล้ว อีกทั้งยังกันการทำงานของ WOT เพื่อป้องกัน user จากภัยที่อาจเกิดขึ้นได้

ซึ่งจาก forum ของ WOT มีการประกาศว่ากำลังเร่งทำ patch เพื่อแก้ไขเรื่องช่องโหว่ดังกล่าวอยู่ แต่ไม่ได้พูดถึงประเด็นเรื่องการเก็บข้อมูลของ user แต่อย่างใด

จนกว่าจะถึงตอนที่มันไม่มีปัญหา แนะนำใ้ห้ทำการถอน add-on ตัวนี้ออกไปก่อนครับ

Source:: Grahamcluley.com