Bezbednosni propust u Microsoftovom browseru Edge omogućava hakerima krađu lozinki i kolačića

Vesti, 26.04.2017, 09:00 AM

Stručnjak za bezbednost Manuel Kabalero otkrio je bezbednosni propust u Microsoftovom browseru Edge koji hakeri mogu iskoristiti da bi došli do kolačića i lozinki za različite online naloge.

Kabalero je poznat po otkrićima propusta u Edgeu i Internet Exploreru, a njegovo poslednje otkriće je zaobilaženje SOP-a (Same Origin Policy), bezbednosne funkcije browsera koja sprečava web sajt A da učitava i izvršava skripte učitane sa web sajta B.

Propust koji je Kabalero otkrio ove nedelje omogućava napadaču da učita i izvrši maliciozni kod tako što će prevariti žrtvu da otvori maliciozni link.

Kabalero je pokazao kako je izvršio kod na početnoj stranici Binga, objavio tvit u ime drugog korisnika, i ukrao lozinku i kolačiće sa Twitter naloga.

Napad ilustruje bezbednosni propust u dizajnu modernih browsera - napadač može da odjavi korisnika, učita stranicu za prijavljivanje i ukrade korisničko ime i lozinku koji se automatski unose u za to predviđena polja zahvaljujući funkciji automatskog popunjavanja.

Da bi bilo jasnije kako funkcioniše napad, Kabalero je snimio video o napadu koji možete pogledati ovde.

Kabalero kaže da napad može biti prilagođen i drugim online servisima, kao što su Facebook, Amazon i drugi. Propust utiče samo na Edge.

Moderni oglasi isporučuju browserima JavaScript kod, pa hakeri mogu koristiti malvertajzing kampanje za automatsko isporučuvanje ovog exploita hiljadama korisnika.