Svaka četvrta analizirana ekstenzija za Google Chrome omogućava krađu podataka

Vesti, 30.09.2011, 11:34 AM

Svaka četvrta analizirana ekstenzija za Google Chrome omogućava krađu podataka

Od 100 testiranih ekstenzija za Google Chrome, 27 je ranjivo i može biti iskorišćeno za krađu podataka (lozinki, istorije itd.) pomoću posebno dizajniranih malicioznih veb sajtova ili hakovanjem onda kada se koristi javna WiFi mreža.

Do ovog zaključka došla su trojica istraživača analizirajući 50 najpopularnijih ekstenzija i 50 nasumično izabranih ekstenzija za Google Chrome.

Dokazujući svoje tvrdnje, istraživači su izveli proof-of-concept napade kako bi pokazali otkrivene ranjivosti ekstenzija. Oni su tragali za ranjivostima koje omogućavaju ubacivanje JavaScript-a u jezgro ekstenzije jer to omogućava njeno potpuno preuzimanje. Loša vest je da im je to uspelo u slučaju 25% testiranih ekstenzija, među kojima se nalazi sedam njih koje imaju preko 300000 korisnika.

Međutim, olakšavajuća okolnost je otkriće istraživača da čak 49 od 51 pronađene ranjivosti može biti zakrpljeno pomoću jedne od dve ponuđene Content Security Policies (CSP) koje uspešno sprečavaju ubacivanje malicioznog JavaScript koda na različite načine - zabranom eval funkcije tako da podaci koji nisu sigurni ne mogu biti izvršavani kao kod ili zamenom legitimnog JavaScript-a .js fajlom tako da se ubačene maliciozne skripte odmah diferenciraju od onih legitimnih i prepoznaju kao maliciozne ili pak potpunim ili delimičnim onemogućavanjem eksternih skripti.

Pored bagova u samim ekstenzijama, i veb sajtovi mogu ekstenzije učiniti ranjivim, kažu istraživači. CSP ovo ne može da spreči, ali je preporuka istraživača programerima ekstenzija da ne koriste innerHTML za izmenu veb sajtova. Umesto toga, treba koristiti innerText ili DOM metode kao što je appendChild. Ekstenzije takođe ne bi trebalo da dodaju CSS ili HTTP skripte HTTPS veb sajtovima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Wikileaks objavio arhivu emailova i dokumenata ukradenih u hakerskom napadu na Sony Pictures

Wikileaks objavio arhivu emailova i dokumenata ukradenih u hakerskom napadu na Sony Pictures

Wikileaks je objavio bazu podataka koju je moguće pretraživati a koja sadrži na hiljade emailova i dokumenata iz kompanije Sony Pictures Entertainm... Dalje

''Imperija uzvraća udarac'': Rat dve špijunske hakerske grupe

''Imperija uzvraća udarac'': Rat dve špijunske hakerske grupe

Istraživači iz kompanije Kaspersky zabeležili su redak i neobičan primer napada jedne hakerske grupe koja se bavi sajber špijunažom na drugu. 20... Dalje

Dropbox pokreće program za nagrađivanje istraživača koji otkriju bagove u njegovim aplikacijama

Dropbox pokreće program za nagrađivanje istraživača koji otkriju bagove u njegovim aplikacijama

Dropbox je objavio da u saradnji sa HackerOne pokreće program za nagrađivanje istraživača koji pronađu bagove u njegovim aplikacijama, i daće mi... Dalje

Bezbednosni propust u svim verzijama Windowsa omogućava hakerima krađu korisničkih imena i lozinki

Bezbednosni propust u svim verzijama Windowsa omogućava hakerima krađu korisničkih imena i lozinki

Istraživači iz firme Cylance otkrili su bezbednosni propust koji omogućava hakerima da ukradu korisnička imena i lozinke sa računara na kojima je... Dalje

Žrtve ransomwarea CoinVault sada mogu povratiti svoje fajlove besplatno

Žrtve ransomwarea CoinVault sada mogu povratiti svoje fajlove besplatno

Žrtve infekcije ransomwarea CoinVault sada imaju šansu da povrate svoje podatke bez plaćanja kriminalcima, zahvaljujući repozitorijumu ključeva z... Dalje