| +11 голос |
|
|
СПЕЦІАЛЬНІ ПАРТНЕРИ ПРОЕКТУ BEST CIOОпределение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях Человек годаКто внес наибольший вклад в развитие украинского ИТ-рынка. Продукт годаНаграды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары |
До 200 браузерных расширений уязвимы для атак через веб-сайты
21 января 2019 г., 12:35
Прикладные программные интерфейсы (API) браузерных расширений могут использоваться для кражи конфиденциальных сведений об истории посещения веб-страниц, а также пользовательских закладок и даже файлов куки. С помощью последних, злоумышленник может взломать активную сессию авторизованного пользователя и получить доступ к его почтовым ящиками, профилям в соцсетях и к прочим учётным записям. Более того, через уязвимые API можно организовать загрузку и сохранение на устройстве вредоносных файлов, запись в постоянную память расширения той информации, которая в дальнейшем позволит отслеживать действия пользователя в Сети. Эти типы атак проверил на 78 тыс. расширений Chrome, Firefox и Opera Дольер Сомэ (Dolière Francis Somé) из французского исследовательского института INRIA. С помощью разработанного им тестового кода, Сомэ смог выявить 197 расширений, у которых внутренние коммуникационные интерфейсы были открыты для веб-приложений. В нормальных условиях доступ к ним, а через них к пользовательским данным в браузере, может иметь (при наличии соответствующих разрешений) только собственный код расширения. В выложенной им в открытом доступе статье Сомэ пишет, что к его удивлению лишь 15 (7,61%) из 197 расширений можно отнести к категории средств разработки, которые, казалось бы, легче использовать для взлома. Больше половины (55%) уязвимых расширений были редко используемыми с числом загрузок менее 1000, однако свыше 15% были установлены более 10 тыс. раз. Сомэ ознакомил с результатами тестирования разработчиков браузеров ещё до публикации статьи. По его сведениям, Firefox уже удалила все проблемные расширения, Opera также устранила все кроме двух, позволяющих активировать загрузку. Команда Crome ведёт консультации с автором, решая, следует ли удалить расширения или ограничиться исправлением их кода. Веб-приложение, созданное Сомэ, призвано упростить пользователям самостоятельную проверку наличия уязвимых API в файле manifest.json их браузерного расширения. Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
Читайте также
|
Последние обсуждения
ТОП-новости
ТОП-блогиТОП-статьи |
||||||
