Nul
Kwaadwillende websites kunnen benutten browser extensie-Api ‘ s om code uit te voeren in de browser en het stelen van gevoelige informatie zoals bladwijzers, navigatiegeschiedenis, en zelfs door de gebruiker van cookies.
De laatste, een aanvaller kan kapen van een gebruiker actief login sessies en de toegang tot gevoelige accounts, zoals e-mail inboxen, social media profielen, of werk-gerelateerde accounts.
Bovendien, dezelfde extensie-Api ‘ s kunnen ook misbruikt worden voor het activeren van het downloaden van schadelijke bestanden en sla ze op op de gebruiker apparaat, en het opslaan en ophalen van gegevens in een uitbreiding van de permanente opslag van gegevens die later kunnen worden gebruikt om gebruikers te volgen op het web.
Deze aanvallen zijn niet theoretisch, maar hebben zich al bewezen in een wetenschappelijke paper gepubliceerd deze maand door Dolière Francis Somé, een onderzoeker verbonden aan de Université de Côte d ‘ Azur en met INRIA, een frans onderzoeker instituut.
Somé gemaakt van een tool en getest door 78.000 mensen Chrome, Firefox en Opera extensies. Door zijn inspanningen, hij was in staat om te identificeren 197 extensies die blootgesteld interne extensie-API communicatie-interfaces voor web-toepassingen, zodat kwaadaardige websites een directe avenue de gegevens die zijn opgeslagen in de browser van de gebruiker worden gegevens die onder normale omstandigheden alleen de uitbreiding van de eigen code zou kunnen hebben bereikt (bij de juiste machtigingen werden verkregen).
Afbeelding: Somé
De franse onderzoeker zegt dat hij was verrast door de resultaten, op slechts 15 (7.61%) van de 197 uitbreidingen werden developer tools, een categorie van extensies die meestal hebben volledige controle over wat er gebeurt in een browser, en zou al degenen, die hij verwacht werden eenvoudiger te exploiteren.
Ongeveer 55 procent van alle kwetsbare extensies had minder dan 1.000 installaties, maar meer dan 15 procent had meer dan 10.000.
Afbeelding: Somé
Somé zei hij kennis van de browser leveranciers over zijn bevindingen alvorens door te gaan met zijn werk in het begin van januari.
“Alle leveranciers erkent de problemen,” Somé zei. “Firefox is verwijderd van alle gemelde extensies. Opera heeft ook verwijderd alle uitbreidingen, maar 2 die kunnen worden benut om de trigger te downloaden.”
“Chrome ook erkend dat het probleem in de gerapporteerde extensies. We zijn nog steeds in discussie met hen de mogelijke maatregelen te nemen: te verwijderen of corrigeren van de extensies,” zei hij.
De onderzoeker ook een tool waarmee gebruikers kunnen testen of hun extensies bevatten ook kwetsbaar Api ‘ s die uitgebuit kunnen worden door kwaadwillende websites. De tool is webbased en wordt gehost op deze pagina. Om het te gebruiken, gebruikers zou moeten kopiëren-plak de inhoud van een uitbreiding van het manifest.json-bestand.
Een pagina met diverse demo video ‘ s is hier beschikbaar. Meer details over Somé het werk zijn beschikbaar in een research paper getiteld “EmPoWeb: Empowerment van Web Applicaties met Browser-Extensies,” beschikbaar voor download in PDF-formaat vanaf hier of hier.
Het zou zeer onpraktisch om een lijst van alle kwetsbare extensies in dit artikel. Lezers kunnen vinden in de lijst van kwetsbare extensies in de tabellen aan het eind van de boven-gekoppelde onderzoek.
Meer browser dekking:
Het inschakelen en het testen van de nieuwe Google Chrome dark-modus op Windows-10
Firefox te verwijderen misleidende knop na maanden van complaintsGoogle Chrome-extensie die steelt card nummers nog steeds beschikbaar op het Web StoreGoogle Chrome ingebouwde ad-blocker uit te rollen in de wereld op juli 9Firefox eindelijk fix vervelend pagina jumpsGoogle Chrome nieuwe UI is lelijk, en de mensen zijn zeer angryBrave is de standaard browser op obscure HTC crypto-telefoon CNETMozilla en Qualcomm onthullen native ARM64 Firefox-versie voor Windows 10 TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0