`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

До 200 браузерных расширений уязвимы для атак через веб-сайты

+11
голос

До 200 браузерных расширений уязвимы для атак через веб-сайты

Прикладные программные интерфейсы (API) браузерных расширений могут использоваться для кражи конфиденциальных сведений об истории посещения веб-страниц, а также пользовательских закладок и даже файлов куки. С помощью последних, злоумышленник может взломать активную сессию авторизованного пользователя и получить доступ к его почтовым ящиками, профилям в соцсетях и к прочим учётным записям.

Более того, через уязвимые API можно организовать загрузку и сохранение на устройстве вредоносных файлов, запись в постоянную память расширения той информации, которая в дальнейшем позволит отслеживать действия пользователя в Сети.

Эти типы атак проверил на 78 тыс. расширений Chrome, Firefox и Opera Дольер Сомэ (Dolière Francis Somé) из французского исследовательского института INRIA. С помощью разработанного им тестового кода, Сомэ смог выявить 197 расширений, у которых внутренние коммуникационные интерфейсы были открыты для веб-приложений. В нормальных условиях доступ к ним, а через них к пользовательским данным в браузере, может иметь (при наличии соответствующих разрешений) только собственный код расширения.

В выложенной им в открытом доступе статье Сомэ пишет, что к его удивлению лишь 15 (7,61%) из 197 расширений можно отнести к категории средств разработки, которые, казалось бы, легче использовать для взлома.

Больше половины (55%) уязвимых расширений были редко используемыми с числом загрузок менее 1000, однако свыше 15% были установлены более 10 тыс. раз.

Сомэ ознакомил с результатами тестирования разработчиков браузеров ещё до публикации статьи. По его сведениям, Firefox уже удалила все проблемные расширения, Opera также устранила все кроме двух, позволяющих активировать загрузку. Команда Crome ведёт консультации с автором, решая, следует ли удалить расширения или ограничиться исправлением их кода.

Веб-приложение, созданное Сомэ, призвано упростить пользователям самостоятельную проверку наличия уязвимых API в файле manifest.json их браузерного расширения.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT