Сотни API расширений в браузерах уязвимы для кибератак

Опубликовано at 15:07
251 0

Эксперты из французского Университета Лазурного берега (Université Côte d’Azur) опубликовали доклад, посвященный тому, как расширения для браузеров могут использоваться злоумышленниками для исполнения произвольного кода и хищения данных пользователя.

Обычные веб-приложения защищает Same Origin Policy (SOP), и те не могут получить доступ к данным других веб-приложений, если в дело не вступает механизм Cross-Origin Resource Sharing (CORS). Однако расширения для браузеров этим правилам не подчиняются. Таким образом, взломанное расширение может  иметь доступ к информации других веб-приложений, а также загружать файлы и иметь доступ к истории браузера. При этом, несмотря на то, что веб-приложения и расширения выполняются в разном контексте, они способны взаимодействовать друг с другом, независимо от используемого браузера.

Эксперты изучили работу 78 315 расширений для Chrome, Firefox и Opera, обращая особенное внимание на их взаимодействие с веб-приложениями. 3996 расширений были признаны потенциально опасными, и 197 их них (171 для Chrome, 16 для Firefox и 10 для Opera) могут использоваться для атак на веб-приложения. В процентном отношении это не очень много, но достаточно, чтобы забеспокоиться. Теоретически модули API в расширениях могут использоваться как плацдарм для дальнейшего хакинга.

По статистике примерно 55% потенциально вредонсных расширений были установлены менее 1 тыс. раз, однако у более 15% программ число установок превышало 10 тыс.

К докладу эксперты прилагают специальный инструмент, с помощью которого пользователи имеют возможность проверить API установленных у себя расширений и узнать, не могут ли вредоносные сайты использовать их в своих целях. Примечание: для проверки нужно скопировать содержимое файла manifest.json в анализатор.

Подписываемся, следим @CyberAgency

Related Post

Игра киберпрестолов VII: китайцы атакуют германские предприятия через провайдеров

Опубликовано - 20.12.2018 0
Ангела Хорстовна, китайцы наступают! И это уже не анекдот: очередную вышедшую на сцену китайскую кибергруппировку Cloudhopper интересуют машиностроительные, коммерческие и…

Фальшивые деньги, даркнет и 235 арестов: Европол провел крупнейшую операцию по аресту фальшивомонетчиков

Опубликовано - 12.12.2018 0
Представители Европола рапортуют об операции поистине эпического мсаштаба: полиция 13 стран мира (включая Германию, Францию, Австрию, Италию, Великобританию) провела в…

Добавить комментарий