ប្រវត្តិសាស្ត្រថ្មី។

SquareX លាតត្រដាង "Browser Syncjacking" ដែលជាបច្ចេកទេសវាយប្រហារថ្មីដែលដាក់ហានិភ័យរាប់លាន

ដោយ CyberNewswire6m2025/01/30

យូរពេក; អាន

SquareX បង្ហាញពីបច្ចេកទេសវាយប្រហារថ្មីមួយដែលបង្ហាញពីរបៀបដែលកម្មវិធីបន្ថែមព្យាបាទអាចត្រូវបានប្រើដើម្បីប្លន់កម្មវិធីរុករកទាំងស្រុង ហើយនៅទីបំផុតឧបករណ៍ទាំងមូល។ ការវាយប្រហារចាប់ផ្តើមដោយបុគ្គលិកដំឡើងផ្នែកបន្ថែមកម្មវិធីរុករកណាមួយ។ កម្មវិធីបន្ថែមបន្ទាប់មក "ដោយស្ងៀមស្ងាត់" ផ្ទៀងផ្ទាត់ជនរងគ្រោះទៅក្នុងទម្រង់ Chrome ដែលគ្រប់គ្រងដោយ Google Workspace របស់អ្នកវាយប្រហារ។

featured image - SquareX លាតត្រដាង "Browser Syncjacking" ដែលជាបច្ចេកទេសវាយប្រហារថ្មីដែលដាក់ហានិភ័យរាប់លាន

PALO ALTO សហរដ្ឋអាមេរិក ថ្ងៃទី 30 ខែមករា ឆ្នាំ 2025/CyberNewsWire/--SquareX បង្ហាញពីបច្ចេកទេសវាយប្រហារថ្មីមួយដែលបង្ហាញពីរបៀបដែលកម្មវិធីបន្ថែមព្យាបាទអាចត្រូវបានប្រើដើម្បីប្លន់កម្មវិធីរុករកទាំងស្រុង ហើយនៅទីបំផុតឧបករណ៍ទាំងមូល។

ផ្នែកបន្ថែមកម្មវិធីរុករកបានស្ថិតក្រោមការចាប់អារម្មណ៍នៅក្នុងព័ត៌មានសុវត្ថិភាពសហគ្រាសនាពេលថ្មីៗនេះ ដោយសាររលកនៃការវាយប្រហារ OAuth លើអ្នកបង្កើតកម្មវិធីបន្ថែម Chrome និងការវាយប្រហារការបណ្តេញទិន្នន័យ។

ទោះយ៉ាងណាក៏ដោយ រហូតមកដល់ពេលនេះ ដោយសារការកំណត់ដែលអ្នកលក់កម្មវិធីរុករកតាមអ៊ីនធឺណិតដាក់នៅលើប្រព័ន្ធរងផ្នែកបន្ថែម និងផ្នែកបន្ថែម វាត្រូវបានគេគិតថាមិនអាចទៅរួចសម្រាប់ផ្នែកបន្ថែមដើម្បីទទួលបានការគ្រប់គ្រងពេញលេញនៃកម្មវិធីរុករក ពោលគឺតិចជាងឧបករណ៍។

SquareX អ្នកស្រាវជ្រាវ Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy និង Pankaj Sharma បានលុបបំបាត់ជំនឿនេះដោយបង្ហាញពីរបៀបដែលអ្នកវាយប្រហារអាចប្រើផ្នែកបន្ថែមដែលមានគំនិតអាក្រក់ដើម្បីបង្កើនសិទ្ធិដើម្បីធ្វើកម្មវិធីរុករកពេញលេញ និងការកាន់កាប់ឧបករណ៍ ដែលទាំងអស់មានអន្តរកម្មអ្នកប្រើប្រាស់តិចតួចបំផុត។

ជាការរិះគន់ ផ្នែកបន្ថែមព្យាបាទទាមទារតែសមត្ថភាពអាន/សរសេរដែលមានវត្តមាននៅក្នុងផ្នែកបន្ថែមនៃកម្មវិធីរុករកតាមអ៊ីនធឺណិតភាគច្រើននៅលើ Chrome Store រួមទាំងឧបករណ៍ផលិតភាពទូទៅដូចជា Grammarly, Calendly និង Loom ដែលធ្វើឱ្យអ្នកប្រើប្រាស់មិនពេញចិត្តក្នុងការផ្តល់ការអនុញ្ញាតទាំងនេះ។

វិវរណៈនេះបង្ហាញថាស្ទើរតែគ្រប់ផ្នែកបន្ថែមនៃកម្មវិធីរុករកតាមអ៊ីនធឺណិតអាចមានសក្តានុពលជាវ៉ិចទ័រវាយប្រហារ ប្រសិនបើត្រូវបានបង្កើត ឬគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ តាមការយល់ដឹងរបស់យើង ផ្នែកបន្ថែមដែលបានដាក់ស្នើទៅ Chrome Store ដែលស្នើសុំសមត្ថភាពទាំងនេះមិនត្រូវបានដាក់ឆ្លងកាត់ការត្រួតពិនិត្យសុវត្ថិភាពបន្ថែមនៅពេលសរសេរនេះទេ។

ការវាយប្រហារ syncjacking កម្មវិធីរុករកតាមអ៊ីនធឺណិតអាចបែងចែកជាបីផ្នែក៖ របៀបដែលផ្នែកបន្ថែមបន្ថែមទម្រង់ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារដោយស្ងៀមស្ងាត់ ប្លន់កម្មវិធីរុករកតាមអ៊ីនធឺណិត ហើយទីបំផុតទទួលបានការគ្រប់គ្រងពេញលេញនៃឧបករណ៍។

ការលួចព័ត៌មាន

ការវាយប្រហារចាប់ផ្តើមដោយបុគ្គលិកម្នាក់ដំឡើងផ្នែកបន្ថែមកម្មវិធីរុករកតាមអ៊ីនធឺណិត - វាអាចពាក់ព័ន្ធនឹងការបោះពុម្ពផ្សាយដែលក្លែងបន្លំជាឧបករណ៍ AI ឬទទួលយកផ្នែកបន្ថែមពេញនិយមដែលមានស្រាប់ដែលអាចមានការដំឡើងរហូតដល់រាប់លានសរុប។

ផ្នែកបន្ថែមបន្ទាប់មក "ដោយស្ងៀមស្ងាត់" ផ្ទៀងផ្ទាត់ជនរងគ្រោះទៅក្នុងទម្រង់ Chrome ដែលគ្រប់គ្រងដោយ Google Workspace របស់អ្នកវាយប្រហារ។ ទាំងអស់នេះត្រូវបានធ្វើនៅក្នុងលក្ខណៈស្វ័យប្រវត្តិនៅក្នុងបង្អួចផ្ទៃខាងក្រោយដែលធ្វើឱ្យដំណើរការទាំងមូលស្ទើរតែមិនអាចយល់បានចំពោះជនរងគ្រោះ។

នៅពេលដែលការផ្ទៀងផ្ទាត់នេះកើតឡើង អ្នកវាយប្រហារមានការគ្រប់គ្រងពេញលេញលើទម្រង់ដែលបានគ្រប់គ្រងថ្មីនៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ជនរងគ្រោះ ដែលអនុញ្ញាតឱ្យពួកគេជំរុញគោលការណ៍ស្វ័យប្រវត្តិដូចជាការបិទការរុករកសុវត្ថិភាព និងមុខងារសុវត្ថិភាពផ្សេងទៀត។

ដោយប្រើការវាយប្រហារផ្នែកវិស្វកម្មសង្គមដ៏ឆ្លាតវៃដែលទាញយកដែនដែលអាចទុកចិត្តបាននោះ សត្រូវអាចបង្កើនការវាយប្រហារដោយលួចលាក់ទម្រង់ដើម្បីលួចពាក្យសម្ងាត់ពីកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ជនរងគ្រោះ។ ឧទាហរណ៍ កម្មវិធីបន្ថែមព្យាបាទអាចបើក និងកែប្រែទំព័រជំនួយផ្លូវការរបស់ Google អំពីរបៀបធ្វើសមកាលកម្មគណនីអ្នកប្រើប្រាស់ ដើម្បីជំរុញឱ្យជនរងគ្រោះធ្វើសមកាលកម្មដោយគ្រាន់តែចុចពីរបីដងប៉ុណ្ណោះ។

នៅពេលដែលទម្រង់នេះត្រូវបានធ្វើសមកាលកម្ម អ្នកវាយប្រហារមានសិទ្ធិចូលប្រើប្រាស់ពេញលេញទៅកាន់ព័ត៌មានសម្ងាត់ និងប្រវត្តិរុករកទាំងអស់ដែលបានរក្សាទុកក្នុងមូលដ្ឋាន។ ដោយសារការវាយប្រហារនេះប្រើប្រាស់តែគេហទំព័រស្របច្បាប់ប៉ុណ្ណោះ ហើយមិនមានសញ្ញាដែលអាចមើលឃើញថាវាត្រូវបានកែប្រែដោយផ្នែកបន្ថែមនោះទេ វានឹងមិនបង្កកណ្ដឹងរោទិ៍ណាមួយនៅក្នុងដំណោះស្រាយសុវត្ថិភាពណាមួយដែលត្រួតពិនិត្យចរាចរណ៍បណ្តាញនោះទេ។

ការកាន់កាប់កម្មវិធីរុករក

ដើម្បីសម្រេចបាននូវការកាន់កាប់កម្មវិធីរុករកពេញលេញ អ្នកវាយប្រហារត្រូវបំប្លែងកម្មវិធីរុករកតាមអ៊ីនធឺណិត Chrome របស់ជនរងគ្រោះទៅជាកម្មវិធីរុករកដែលគ្រប់គ្រង។

ផ្នែកបន្ថែមដូចគ្នាត្រួតពិនិត្យ និងស្ទាក់ចាប់ការទាញយកស្របច្បាប់ ដូចជាការធ្វើបច្ចុប្បន្នភាព Zoom ហើយជំនួសវាដោយការប្រតិបត្តិរបស់អ្នកវាយប្រហារ ដែលមាននិមិត្តសញ្ញាចុះឈ្មោះ និងធាតុចុះឈ្មោះ ដើម្បីបង្វែរកម្មវិធីរុករកតាមអ៊ីនធឺណិត Chrome របស់ជនរងគ្រោះទៅជាកម្មវិធីរុករកដែលបានគ្រប់គ្រង។

ដោយគិតថាពួកគេបានទាញយកកម្មវិធីធ្វើបច្ចុប្បន្នភាព Zoom ជនរងគ្រោះប្រតិបត្តិឯកសារដែលបញ្ចប់ដោយការដំឡើងធាតុបញ្ជីឈ្មោះដែលណែនាំកម្មវិធីរុករកឱ្យក្លាយជាអ្នកគ្រប់គ្រងដោយ Google Workspace របស់អ្នកវាយប្រហារ។

នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានការគ្រប់គ្រងពេញលេញលើកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ជនរងគ្រោះដើម្បីបិទមុខងារសុវត្ថិភាព ដំឡើងកម្មវិធីបន្ថែមព្យាបាទ បណ្តេញទិន្នន័យ និងសូម្បីតែបញ្ជូនអ្នកប្រើប្រាស់ដោយស្ងៀមស្ងាត់ទៅកាន់គេហទំព័របន្លំ។ ការវាយប្រហារនេះមានឥទ្ធិពលខ្លាំងណាស់ ព្រោះមិនមានភាពខុសគ្នាដែលមើលឃើញរវាងកម្មវិធីរុករកដែលបានគ្រប់គ្រង និងមិនបានគ្រប់គ្រង។

សម្រាប់អ្នកប្រើប្រាស់ធម្មតា វាមិនមានសញ្ញាច្បាស់លាស់ដែលថាការកើនឡើងសិទ្ធិបានកើតឡើងទេ លុះត្រាតែជនរងគ្រោះដឹងពីសុវត្ថិភាពខ្ពស់ ហើយចេញទៅក្រៅដើម្បីត្រួតពិនិត្យការកំណត់កម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ពួកគេជាទៀងទាត់ និងស្វែងរកទំនាក់ទំនងជាមួយគណនី Google Workspace ដែលមិនធ្លាប់ស្គាល់។

ការលួចឧបករណ៍

ជាមួយនឹងឯកសារដែលបានទាញយកដូចគ្នាខាងលើ អ្នកវាយប្រហារអាចបញ្ចូលធាតុចុះបញ្ជីដែលទាមទារសម្រាប់ផ្នែកបន្ថែមព្យាបាទ ដើម្បីផ្ញើសារទៅកាន់កម្មវិធីដើម។ នេះអនុញ្ញាតឱ្យផ្នែកបន្ថែមធ្វើអន្តរកម្មដោយផ្ទាល់ជាមួយកម្មវិធីក្នុងតំបន់ដោយមិនចាំបាច់មានការផ្ទៀងផ្ទាត់បន្ថែមទៀត។

នៅពេលដែលការតភ្ជាប់ត្រូវបានបង្កើតឡើង អ្នកវាយប្រហារអាចប្រើផ្នែកបន្ថែមដោយភ្ជាប់ជាមួយសែលមូលដ្ឋាន និងកម្មវិធីដើមដែលមានផ្សេងទៀត ដើម្បីបើកកាមេរ៉ាឧបករណ៍ដោយសម្ងាត់ ចាប់យកសំឡេង ថតអេក្រង់ និងដំឡើងកម្មវិធីព្យាបាទ - សំខាន់ផ្តល់នូវការចូលដំណើរការពេញលេញទៅគ្រប់កម្មវិធី និងទិន្នន័យសម្ងាត់។ នៅលើឧបករណ៍។

ការវាយប្រហារ syncjacking របស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតបង្ហាញនូវកំហុសជាមូលដ្ឋាននៅក្នុងវិធីដែលគ្រប់គ្រងពីចម្ងាយ និងកម្មវិធីរុករកតាមអ៊ីនធឺណិត។ សព្វថ្ងៃនេះ នរណាម្នាក់អាចបង្កើតគណនីកន្លែងធ្វើការដែលត្រូវបានគ្រប់គ្រងដោយភ្ជាប់ទៅនឹងដែនថ្មី និងផ្នែកបន្ថែមកម្មវិធីរុករកដោយមិនចាំបាច់មានទម្រង់នៃការផ្ទៀងផ្ទាត់អត្តសញ្ញាណណាមួយ ដែលធ្វើឱ្យវាមិនអាចកំណត់បានថាការវាយប្រហារទាំងនេះ។

ជាអកុសល បច្ចុប្បន្នសហគ្រាសភាគច្រើនមិនមានលទ្ធភាពមើលឃើញនៅក្នុងកម្មវិធីរុករកនោះទេ - ភាគច្រើនមិនមានកម្មវិធីរុករកតាមអ៊ីនធឺណិត ឬទម្រង់ដែលបានគ្រប់គ្រង ហើយការមើលឃើញណាមួយចំពោះបុគ្គលិកផ្នែកបន្ថែមកំពុងដំឡើងជាញឹកញាប់ដោយផ្អែកលើឧបករណ៍ដែលកំពុងពេញនិយម និងការណែនាំអំពីប្រព័ន្ធផ្សព្វផ្សាយសង្គម។

អ្វីដែលធ្វើឱ្យការវាយប្រហារនេះមានគ្រោះថ្នាក់ជាពិសេសនោះគឺថាវាដំណើរការដោយមានការអនុញ្ញាតតិចតួច និងស្ទើរតែគ្មានអន្តរកម្មរបស់អ្នកប្រើប្រាស់ ទាមទារតែជំហានវិស្វកម្មសង្គមដ៏តូចតាចដោយប្រើគេហទំព័រដែលអាចទុកចិត្តបាន ដែលធ្វើឱ្យបុគ្គលិកស្ទើរតែមិនអាចរកឃើញបាន។

ខណៈពេលដែលឧប្បត្តិហេតុថ្មីៗដូចជាការបំពាន Cyberhaven បានសម្រុះសម្រួលរាប់រយរួចហើយ ប្រសិនបើមិនមែនរាប់ពាន់ស្ថាប័នទេ ការវាយប្រហារទាំងនោះទាមទារវិស្វកម្មសង្គមដ៏ស្មុគស្មាញដើម្បីដំណើរការ។ ធម្មជាតិដ៏សាហាវឃោរឃៅនៃការវាយប្រហារនេះ - ជាមួយនឹងកម្រិតទាបបំផុតនៃអន្តរកម្មអ្នកប្រើប្រាស់ - មិនត្រឹមតែធ្វើឱ្យការវាយប្រហារនេះមានឥទ្ធិពលខ្លាំងប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបង្ហាញឱ្យឃើញនូវលទ្ធភាពដ៏គួរឱ្យភ័យខ្លាចដែលសត្រូវកំពុងប្រើបច្ចេកទេសនេះដើម្បីសម្របសម្រួលសហគ្រាសនាពេលបច្ចុប្បន្ននេះ។

លុះត្រាតែស្ថាប័នមួយជ្រើសរើសរារាំងផ្នែកបន្ថែមកម្មវិធីរុករកតាមអ៊ីនធឺណិតទាំងស្រុងតាមរយៈកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលបានគ្រប់គ្រង ការវាយប្រហារ syncjacking របស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតនឹងរំលងទាំងស្រុងនូវបញ្ជីខ្មៅដែលមានស្រាប់ និងគោលការណ៍ផ្អែកលើការអនុញ្ញាត។

ស្ថាបនិក SquareX Vivek Ramachandran និយាយថា "ការស្រាវជ្រាវនេះបង្ហាញពីចំណុចងងឹតដ៏សំខាន់មួយនៅក្នុងសន្តិសុខសហគ្រាស។ ឧបករណ៍សុវត្ថិភាពបែបប្រពៃណីមិនអាចមើលឃើញ ឬបញ្ឈប់ការវាយប្រហារតាមកម្មវិធីរុករកតាមអ៊ីនធឺណិតដ៏ទំនើបទាំងនេះទេ។ អ្វីដែលធ្វើឱ្យការរកឃើញនេះគួរឱ្យព្រួយបារម្ភជាពិសេសគឺរបៀបដែលវាបំពាក់នូវផ្នែកបន្ថែមកម្មវិធីរុករកដែលហាក់ដូចជាគ្មានកំហុសចូលទៅក្នុងឧបករណ៍គ្រប់គ្រងឧបករណ៍ពេញលេញ ខណៈពេលដែលហោះហើរនៅក្រោមរ៉ាដានៃវិធានការសុវត្ថិភាពធម្មតាដូចជា EDRs និង SASE/SSE Secure Web Gateways។ ដំណោះស្រាយការរកឃើញ-ការឆ្លើយតបរបស់កម្មវិធីរុករកមិនមែនគ្រាន់តែជាជម្រើសទៀតទេ - វាជាភាពចាំបាច់។ ប្រសិនបើគ្មានការមើលឃើញ និងការគ្រប់គ្រងនៅកម្រិតកម្មវិធីរុករកតាមអ៊ីនធឺណិត អង្គការនានាពិតជាទុកទ្វារខាងមុខឱ្យបើកចំហសម្រាប់អ្នកវាយប្រហារ។ បច្ចេកទេសវាយប្រហារនេះបង្ហាញពីមូលហេតុដែលសន្តិសុខត្រូវ 'ផ្លាស់ប្តូរ' ទៅកន្លែងដែលការគំរាមកំហែងកំពុងកើតឡើង៖ នៅក្នុងកម្មវិធីរុករកខ្លួនឯង។

SquareX បាននិងកំពុងធ្វើការស្រាវជ្រាវសុវត្ថិភាពត្រួសត្រាយលើផ្នែកបន្ថែមកម្មវិធីរុករក រួមទាំងការពិភាក្សា DEF CON 32 ផងដែរ។ Sneaky Extensions: The MV3 Escape Artists ដែលបង្ហាញផ្នែកបន្ថែមព្យាបាទដែលអនុលោមតាម MV3 ជាច្រើន។

ក្រុមស្រាវជ្រាវនេះក៏ជាក្រុមដំបូងគេដែលរកឃើញ និងបង្ហាញព័ត៌មាននេះ។ ការវាយប្រហារ OAuth លើអ្នកអភិវឌ្ឍន៍ផ្នែកបន្ថែម Chrome មួយសប្តាហ៍មុនពេល ការបំពាន Cyberhaven . SquareX ក៏ទទួលខុសត្រូវចំពោះការរកឃើញ Last Mile ប្រមូលផ្តុំឡើងវិញ ការវាយប្រហារ ថ្នាក់ថ្មីនៃការវាយប្រហារផ្នែកខាងអតិថិជនដែលទាញយកគុណវិបត្តិនៃស្ថាបត្យកម្ម និងឆ្លងកាត់ទាំងស្រុងនូវដំណោះស្រាយ Secure Web Gateway ទាំងអស់។

ផ្អែកលើការស្រាវជ្រាវនេះ ដំណោះស្រាយការរកឃើញ និងការឆ្លើយតបនៃកម្មវិធីរុករកតាមអ៊ីនធឺណិតដំបូងក្នុងឧស្សាហកម្មរបស់ SquareX ការពារសហគ្រាសប្រឆាំងនឹងការវាយប្រហារដែលមានមូលដ្ឋានលើផ្នែកបន្ថែមកម្រិតខ្ពស់ រួមទាំងការប៉ុនប៉ងលួចឧបករណ៍ដោយធ្វើការវិភាគថាមវន្តលើសកម្មភាពផ្នែកបន្ថែមកម្មវិធីរុករកតាមអ៊ីនធឺណិតទាំងអស់នៅពេលដំណើរការ ដោយផ្តល់ពិន្ទុហានិភ័យដល់ផ្នែកបន្ថែមសកម្មទាំងអស់នៅទូទាំងសហគ្រាស និង កំណត់អត្តសញ្ញាណបន្ថែមទៀតនូវការវាយប្រហារណាមួយដែលពួកគេអាចងាយរងគ្រោះ។

សម្រាប់ព័ត៌មានបន្ថែមអំពីការវាយប្រហារ syncjacking កម្មវិធីរុករកតាមអ៊ីនធឺណិត ការរកឃើញបន្ថែមពីការស្រាវជ្រាវនេះគឺមាននៅ sqrx.com/research .

អំពី SquareX

SquareX ជួយឱ្យស្ថាប័នរកឃើញ កាត់បន្ថយ និងគំរាមកំហែង ស្វែងរកការវាយប្រហារតាមអ៊ីនធឺណិត ដែលកើតឡើងប្រឆាំងនឹងអ្នកប្រើប្រាស់របស់ពួកគេក្នុងពេលវេលាជាក់ស្តែង។

ដំណោះស្រាយកម្មវិធីរុករកតាមអ៊ីនធឺណិតដំបូងគេក្នុងឧស្សាហកម្មរបស់ SquareX ប្រើវិធីសាស្រ្តផ្តោតលើការវាយប្រហារទៅលើសុវត្ថិភាពកម្មវិធីរុករកតាមអ៊ីនធឺណិត ដោយធានាថាអ្នកប្រើប្រាស់សហគ្រាសត្រូវបានការពារប្រឆាំងនឹងការគំរាមកំហែងកម្រិតខ្ពស់ដូចជា QR Codes ព្យាបាទ ការបន្លំកម្មវិធីរុករកតាមអ៊ីនធឺណិត មេរោគដែលមានមូលដ្ឋានលើម៉ាក្រូ និង ការវាយប្រហារតាមគេហទំព័រផ្សេងទៀតដែលគ្របដណ្តប់លើឯកសារព្យាបាទ គេហទំព័រ ស្គ្រីប និងបណ្តាញដែលត្រូវបានសម្របសម្រួល។

លើសពីនេះទៀតជាមួយ SquareX សហគ្រាសអាចផ្តល់ឱ្យអ្នកម៉ៅការ និងអ្នកធ្វើការពីចម្ងាយនូវការចូលប្រើដោយសុវត្ថិភាពទៅកាន់កម្មវិធីខាងក្នុងសហគ្រាស SaaS និងបំប្លែងកម្មវិធីរុករកនៅលើ BYOD / ឧបករណ៍ដែលមិនបានគ្រប់គ្រងទៅជាវគ្គរុករកដែលអាចទុកចិត្តបាន។