?

Log in

No account? Create an account

Previous Entry Share Next Entry
До 200 браузерных расширений уязвимы для атак через веб-сайты
7pravil
До 200 браузерных расширений уязвимы для атак через веб–сайты

Прикладные программные интерфейсы (API) браузерных расширений могут использоваться для кражи конфиденциальных сведений об истории посещения веб-страниц, а также пользовательских закладок и даже файлов куки. С помощью последних, злоумышленник может взломать активную сессию авторизованного пользователя и получить доступ к его почтовым ящиками, профилям в соцсетях и к прочим учётным записям.

Более того, через уязвимые API можно организовать загрузку и сохранение на устройстве вредоносных файлов, запись в постоянную память расширения той информации, которая в дальнейшем позволит отслеживать действия пользователя в Сети.

Эти типы атак проверил на 78 тыс. расширений Chrome, Firefox и Opera Дольер Сомэ (Dolière Francis Somé) из французского исследовательского института INRIA. С помощью разработанного им тестового кода, Сомэ смог выявить 197 расширений, у которых внутренние коммуникационные интерфейсы были открыты для веб-приложений. В нормальных условиях доступ к ним, а через них к пользовательским данным в браузере, может иметь (при наличии соответствующих разрешений) только собственный код расширения.

В выложенной им в открытом доступе статье Сомэ пишет, что к его удивлению лишь 15 (7,61%) из 197 расширений можно отнести к категории средств разработки, которые, казалось бы, легче использовать для взлома.

Больше половины (55%) уязвимых расширений были редко используемыми с числом загрузок менее 1000, однако свыше 15% были установлены более 10 тыс. раз.

Сомэ ознакомил с результатами тестирования разработчиков браузеров ещё до публикации статьи. По его сведениям, Firefox уже удалила все проблемные расширения, Opera также устранила все кроме двух, позволяющих активировать загрузку. Команда Crome ведёт консультации с автором, решая, следует ли удалить расширения или ограничиться исправлением их кода.

источник

Tags:

Posts from This Journal by “+” Tag


promo 7pravil may 22, 2036 15:30 15
Buy for 10 tokens
Предлагаю подборку познавательных и интересных фактов про человека, из жизни, животных , науку и историю.…