Сотни API расширений в браузерах уязвимы для кибератак

Опубликовано at 15:07
171 0

Эксперты из французского Университета Лазурного берега (Université Côte d’Azur) опубликовали доклад, посвященный тому, как расширения для браузеров могут использоваться злоумышленниками для исполнения произвольного кода и хищения данных пользователя.

Обычные веб-приложения защищает Same Origin Policy (SOP), и те не могут получить доступ к данным других веб-приложений, если в дело не вступает механизм Cross-Origin Resource Sharing (CORS). Однако расширения для браузеров этим правилам не подчиняются. Таким образом, взломанное расширение может  иметь доступ к информации других веб-приложений, а также загружать файлы и иметь доступ к истории браузера. При этом, несмотря на то, что веб-приложения и расширения выполняются в разном контексте, они способны взаимодействовать друг с другом, независимо от используемого браузера.

Эксперты изучили работу 78 315 расширений для Chrome, Firefox и Opera, обращая особенное внимание на их взаимодействие с веб-приложениями. 3996 расширений были признаны потенциально опасными, и 197 их них (171 для Chrome, 16 для Firefox и 10 для Opera) могут использоваться для атак на веб-приложения. В процентном отношении это не очень много, но достаточно, чтобы забеспокоиться. Теоретически модули API в расширениях могут использоваться как плацдарм для дальнейшего хакинга.

По статистике примерно 55% потенциально вредонсных расширений были установлены менее 1 тыс. раз, однако у более 15% программ число установок превышало 10 тыс.

К докладу эксперты прилагают специальный инструмент, с помощью которого пользователи имеют возможность проверить API установленных у себя расширений и узнать, не могут ли вредоносные сайты использовать их в своих целях. Примечание: для проверки нужно скопировать содержимое файла manifest.json в анализатор.

Подписываемся, следим @CyberAgency

Related Post

Блокчейн внедряют в систему голосования

Опубликовано - 16.11.2017 0
Фирма кибербезопасности «Лаборатория Касперского» представила свою систему на основе блокчейн-технологий для безопасного онлайн-голосования. Система поддерживается прозрачными алгоритмами шифрования. В заявлении…

Добавить комментарий