21 января 2019 г., 12:35
Прикладные программные интерфейсы (API) браузерных расширений могут использоваться для кражи конфиденциальных сведений об истории посещения веб-страниц, а также пользовательских закладок и даже файлов куки. С помощью последних, злоумышленник может взломать активную сессию авторизованного пользователя и получить доступ к его почтовым ящиками, профилям в соцсетях и к прочим учётным записям.
Более того, через уязвимые API можно организовать загрузку и сохранение на устройстве вредоносных файлов, запись в постоянную память расширения той информации, которая в дальнейшем позволит отслеживать действия пользователя в Сети.
Эти типы атак проверил на 78 тыс. расширений Chrome, Firefox и Opera Дольер Сомэ (Dolière Francis Somé) из французского исследовательского института INRIA. С помощью разработанного им тестового кода, Сомэ смог выявить 197 расширений, у которых внутренние коммуникационные интерфейсы были открыты для веб-приложений. В нормальных условиях доступ к ним, а через них к пользовательским данным в браузере, может иметь (при наличии соответствующих разрешений) только собственный код расширения.
В выложенной им в открытом доступе статье Сомэ пишет, что к его удивлению лишь 15 (7,61%) из 197 расширений можно отнести к категории средств разработки, которые, казалось бы, легче использовать для взлома.
Больше половины (55%) уязвимых расширений были редко используемыми с числом загрузок менее 1000, однако свыше 15% были установлены более 10 тыс. раз.
Сомэ ознакомил с результатами тестирования разработчиков браузеров ещё до публикации статьи. По его сведениям, Firefox уже удалила все проблемные расширения, Opera также устранила все кроме двух, позволяющих активировать загрузку. Команда Crome ведёт консультации с автором, решая, следует ли удалить расширения или ограничиться исправлением их кода.
Веб-приложение, созданное Сомэ, призвано упростить пользователям самостоятельную проверку наличия уязвимых API в файле manifest.json их браузерного расширения.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365