Nul
Ondsindede websites kan udnytte browser extension Api ‘ er til at udføre kode i browseren og stjæle følsomme oplysninger, såsom bogmærker, browserhistorik og selv bruger cookies.
Den sidste, en hacker kan udnytte til at kapre en brugers aktive login-sessioner og få adgang til følsomme konti, såsom e-mail-indbakker, social media profiler, eller arbejde-relaterede konti.
Desuden, det samme extension Api ‘ er kan også misbruges til at udløse download af ondsindede filer og gemme dem på brugerens enhed og gemme og hente data på en udvidelse er en permanent lagring, data, der senere kan anvendes til at følge brugere på tværs af internettet.
Disse typer af angreb er ikke teoretiske, men er blevet bevist i videnskabelige artikler offentliggjort i denne måned ved Dolière Francis Somé, en forsker med Université Côte d ‘ Azur og med INRIA, en fransk forsker, institut.
Somé skabt et værktøj, og testet over 78,000 Chrome, Firefox og Opera udvidelser. Gennem hans indsats, at han var i stand til at identificere 197 udvidelser, der er udsat indre extension API kommunikation grænseflader til web-applikationer, så ondsindede websteder direkte vej til de data, der er gemt inde i en brugers browser -, data -, der under normale omstændigheder kun en udvidelse egen kode, der kunne have nået (når de nødvendige tilladelser blev indhentet).
Billede: Somé
Den franske forsker siger, at han var overrasket over de resultater, som kun 15 (7.61%) af de 197 udvidelser blev developer tools, en kategori af extensions, der normalt har fuld kontrol over, hvad der sker i en browser, og ville have været dem, at han forventede, at det var lettere at udnytte.
Omkring 55 procent af alle de udsatte udvidelser, havde færre end 1.000 installeres, men over 15 procent havde over 10.000.
Billede: Somé
Somé sagde, at han meddelt browser leverandører om sine resultater, før de går til offentligheden med sit arbejde i begyndelsen af januar.
“Alle leverandører erkendt spørgsmål,” Somé sagde. “Firefox har fjernet alle de rapporterede udvidelser. Opera har også fjernet alle de udvidelser, men 2 der kan udnyttes til at udløse downloads.”
“Chrome også erkendt problemet i den rapporterede udvidelser. Vi diskuterer stadig med dem om mulige foranstaltninger til at tage: enten at fjerne eller rette udvidelser,” sagde han.
Den forsker, der også skabt et værktøj, der lader brugerne teste, om deres udvidelser indeholder også sårbare Api ‘ er, som kan udnyttes af ondsindede websteder. Værktøjet er web-baseret og hostes på denne side. Til at bruge det, brugerne vil have til at copy-paste indholdet af en udvidelse manifest.json fil.
En side med en liste af forskellige demo-videoer, der er tilgængelige her. Flere detaljer om Somé ‘ s arbejde er tilgængelig i et arbejdspapir med titlen “EmPoWeb: Stærke Web-Applikationer med Browser-Udvidelser,” til rådighed for download i PDF-format fra her eller her.
Det ville være meget upraktisk at liste alle de udsatte udvidelser i denne artikel. Læsere kan finde listen over sårbare udvidelser i tabeller i slutningen af den ovenfor linkede forskning papirer.
Mere browser dækning:
Sådan aktiveres og teste den nye Google Chrome mørke tilstand på Windows-10
Firefox til at fjerne vildledende knap tre måneder efter, at complaintsGoogle udvidelse i Chrome, der stjæler kort tal stadig er til rådighed på Web StoreGoogle Chrome ‘ s indbyggede ad-blocker til at rulle ud i hele verden på juli 9Firefox endelig vil løse irriterende side jumpsGoogle Chrome nye UI er grimme, og folk er meget angryBrave er standard browser på obskure HTC crypto-telefon CNETMozilla og Qualcomm afsløre native ARM64-version af Firefox til Windows 10 TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0