Исследователи безопасности нашли уязвимость в Chrome, позволяющую расширениям красть данные
По мнению исследователей из Университета Висконсин-Мэдисон (UW-M), расширения браузера Google Chrome подвергают пользователей хакерам, которые могут легко получить доступ к их личным данным, включая номера документов, пароли и банковскую информацию.
Исследователи также обнаружили уязвимости, связанные с паролями, которые хранятся в виде обычного текста в исходном коде HTML на веб-сайтах некоторых крупнейших мировых корпоративных гигантов, включая Google, Amazon, Citibank, Capital One и т.д.
Проблема связана со способом доступа расширений к внутреннему коду веб-страницы. Google предлагает тысячи расширений, которые пользователи устанавливают для управления событиями календаря, управления паролями, блокировки рекламы, доступа к электронной почте, хранения закладок, перевода и поиска.
Хотя такие расширения помогают увеличить возможности браузера и упростить просмотр, они также предоставляют злоумышленникам сохраненные данные, говорит Асмит Наяк, аспирант компьютерных наук UW-M.
«При отсутствии каких-либо защитных мер, как это видно на таких веб-сайтах, как IRS.gov, Capital One, USENIX, Google и Amazon, конфиденциальные данные, такие как SSN и информация о кредитной карте, доступны всем расширениям, работающим на странице», — говорится в отчете, опубликованном на сервере предварительной печати arXiv 30 августа. «Это представляет собой серьезную угрозу безопасности, поскольку частные данные остаются уязвимыми».
Угроза сохраняется, несмотря на меры защиты, введенные Google в этом году и поддержанные большинством браузеров. Протокол наложил более строгие ограничения на доступ к типам информации. Но между веб-страницами и расширениями браузера не остается защитного слоя, поэтому злоумышленники все равно могут избежать обнаружения.
реклама
«Значительный процент расширений обладает необходимыми разрешениями для использования этих уязвимостей», — сказал Наяк, добавив, что он и двое его коллег выявили 190 расширений, «которые имеют прямой доступ к полям паролей».
Чтобы проверить свои подозрения относительно уязвимостей, исследователи загрузили расширение, которое могло использовать уязвимости и красть пароли в виде открытого текста с HTML-страниц веб-сайтов. Оно не содержало вредоносного кода, поэтому прошло проверку безопасности в интернет-магазине Google Chrome.
Легкость, с которой исследователи загрузили потенциально опасное расширение, «подчеркивает острую необходимость в более надежных мерах безопасности», – сказал Наяк.
Исследователи отключили расширение после того, как установили, что оно может обходить меры безопасности и читать ограниченные данные. Наяк сказал, что ошибки расширения возникли из-за двух ключевых процедурных нарушений в кодировании: минимальных привилегий и полного посредничества.
Наименьшие привилегии относятся к принципу, согласно которому пользователям и системам должен быть предоставлен только самый низкий уровень привилегий доступа, необходимый для выполнения задач. Любые ненужные привилегии должны быть запрещены. Состояния доступа по умолчанию должны быть «запретить», а не «разрешить».
Полное посредничество означает оценку каждого запроса на доступ без каких-либо отклонений или исключений.
Исследователи предложили два способа решения этой проблемы. Первый — это надстройка JavaScript для всех расширений, которые обеспечивают надежную защиту конфиденциальных полей ввода. Второе предложение — добавить функцию браузера, которая предупреждает пользователей о попытке доступа к конфиденциальным данным.
Отчет «Выявление и устранение уязвимостей безопасности в полях ввода текста браузера» вызвал особую тревогу по поводу уязвимостей на двух крупных веб-сайтах.
реклама
«Основные онлайн-рынки, такие, как Google и Amazon, не реализуют никакой защиты для полей ввода кредитных карт», — говорится в отчете. «В этих случаях данные кредитной карты, включая код безопасности и почтовый индекс, отображаются на веб-странице в виде обычного текста. Это представляет собой серьезную угрозу безопасности, поскольку любое вредоносное расширение потенциально может получить доступ к этой конфиденциальной информации и украсть ее».
Далее в отчете говорится: «Отсутствие защиты на этих веб-сайтах вызывает особую тревогу, учитывая их масштаб и объем транзакций, которые они обрабатывают ежедневно».
В ответ на отчет представитель Amazon заявил: «Мы призываем разработчиков браузеров и расширений использовать лучшие практики безопасности для дальнейшей защиты клиентов, использующих их услуги». Представитель Google заявил, что они изучают этот вопрос.
Лента материалов
Соблюдение Правил конференции строго обязательно!
Флуд, флейм и оффтоп преследуются по всей строгости закона!
Комментарии, содержащие оскорбления, нецензурные выражения (в т.ч. замаскированный мат), экстремистские высказывания, рекламу и спам, удаляются независимо от содержимого, а к их авторам могут применяться меры вплоть до запрета написания комментариев и, в случае написания комментария через социальные сети, жалобы в администрацию данной сети.
Комментарии Правила