Svaka četvrta analizirana ekstenzija za Google Chrome omogućava krađu podataka  

Vesti, 30.09.2011, 12:34 PM

Svaka četvrta analizirana ekstenzija za Google Chrome omogućava krađu podataka

Od 100 testiranih ekstenzija za Google Chrome, 27 je ranjivo i može biti iskorišćeno za krađu podataka (lozinki, istorije itd.) pomoću posebno dizajniranih malicioznih veb sajtova ili hakovanjem onda kada se koristi javna WiFi mreža.

Do ovog zaključka došla su trojica istraživača analizirajući 50 najpopularnijih ekstenzija i 50 nasumično izabranih ekstenzija za Google Chrome.

Dokazujući svoje tvrdnje, istraživači su izveli proof-of-concept napade kako bi pokazali otkrivene ranjivosti ekstenzija. Oni su tragali za ranjivostima koje omogućavaju ubacivanje JavaScript-a u jezgro ekstenzije jer to omogućava njeno potpuno preuzimanje. Loša vest je da im je to uspelo u slučaju 25% testiranih ekstenzija, među kojima se nalazi sedam njih koje imaju preko 300000 korisnika.

Međutim, olakšavajuća okolnost je otkriće istraživača da čak 49 od 51 pronađene ranjivosti može biti zakrpljeno pomoću jedne od dve ponuđene Content Security Policies (CSP) koje uspešno sprečavaju ubacivanje malicioznog JavaScript koda na različite načine - zabranom eval funkcije tako da podaci koji nisu sigurni ne mogu biti izvršavani kao kod ili zamenom legitimnog JavaScript-a .js fajlom tako da se ubačene maliciozne skripte odmah diferenciraju od onih legitimnih i prepoznaju kao maliciozne ili pak potpunim ili delimičnim onemogućavanjem eksternih skripti.

Pored bagova u samim ekstenzijama, i veb sajtovi mogu ekstenzije učiniti ranjivim, kažu istraživači. CSP ovo ne može da spreči, ali je preporuka istraživača programerima ekstenzija da ne koriste innerHTML za izmenu veb sajtova. Umesto toga, treba koristiti innerText ili DOM metode kao što je appendChild. Ekstenzije takođe ne bi trebalo da dodaju CSS ili HTTP skripte HTTPS veb sajtovima.


Podeli ovo sa prijateljima na Facebook-u! Klikni OVDE!



Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google pokrenuo kampanju obaveštavanja korisnika računara zaraženih DNSChanger malverom

Google pokrenuo kampanju obaveštavanja korisnika računara zaraženih DNSChanger malverom

Google je započeo ambiciozan poduhvat obaveštavanja približno pola miliona korisnika o tome da su njihovi računari zaraženi malverom DNSChanger. ... Dalje

Malveri maskirani u lažne kodeke - opasnost koju korisnici i dalje ne prepoznaju

Malveri maskirani u lažne kodeke - opasnost koju korisnici i dalje ne prepoznaju

Verovatno već znate šta je spam i zašto ne treba otvarati spam emailove i atačmente koji se ponekad nalaze u tim emailovima. Znate i da su zvanič... Dalje

Društveni inženjering: Žene veštiji prevaranti ali otpornije na prevare

Društveni inženjering: Žene veštiji prevaranti ali otpornije na prevare

Muškarci važe za bolje hakere i istraživače ranjivosti softvera. Ali kada je reč o tehnikama društvenog inžinjeringa, žene su izgleda superior... Dalje

Kako je propao Flashback Trojanac: Umesto 10000 dolara dnevno, kriminalci ostali bez ičega

Kako je propao Flashback Trojanac: Umesto 10000 dolara dnevno, kriminalci ostali bez ičega

Plan je verovatno bio ovakav: Trojanac Flashback koji je zarazio 600000 Mac računara trebalo je da zarađuje 10000 dolara dnevno za one koji su kontr... Dalje

Reklame na Vikipediji - siguran znak infekcije računara

Reklame na Vikipediji - siguran znak infekcije računara

Ako na stranicama popularne online enciklopedije Vikipedia viđate reklame, to je siguran znak da je vaš brauzer zaražen malverom, upozorio je preds... Dalje