WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Nhiều trang web có thể khai thác các tiện ích mở rộng của trình duyệt để đánh cắp dữ liệu người dùng
Các ứng dụng web có thể khai thác các extension (tiện ích mở rộng) của trình duyệt để truy cập vào các khả năng đặc quyền và đánh cắp thông tin nhạy cảm của người dùng, bao gồm thông tin đăng nhập, một nhà nghiên cứu vừa phát hiện thấy.
Mặc dù các ứng dụng web bị ràng buộc bởi Chính sách an ninh SOP và không thể truy cập dữ liệu từ các ứng dụng web khác trừ khi các cơ chế như CORS được áp dụng, các extension trình duyệt không tuân theo một quy tắc nhất định, đồng nghĩa với việc chúng có thể đọc và ghi dữ liệu trên các ứng dụng web.
Các extension cũng có quyền truy cập vào rất nhiều thông tin nhạy cảm của người dùng, bao gồm lịch sử duyệt web, dấu trang, thông tin đăng nhập (cookie) và danh sách các extension đã cài đặt và có thể tải xuống các tệp và lưu trữ chúng trên thiết bị của người dùng.
Các extension của trình duyệt và ứng dụng web được thực thi trong các ngữ cảnh riêng biệt, nhưng chúng có thể tương tác bằng cách trao đổi tin nhắn, bất kể trên trình duyệt nào. Điều này cho phép các ứng dụng web khai thác các khả năng đặc quyền của extension và đánh cắp thông tin người dùng nhạy cảm, Dolière Francis Somé từ Đại học Côte túizur, Inria, Pháp, cho biết trong một bài nghiên cứu (PDF).
Nhà nghiên cứu đã phân tích các giao diện liên lạc, giao tiếp với các ứng dụng web thông qua các extension của trình duyệt Chrome, Firefox và Opera. Somé đã phát hiện thấy nhiều giao diện có thể bị khai thác để truy cập vào các khả năng đặc quyền.
Thông qua API của các extension, các ứng dụng web có thể bỏ qua chính sách SOP và truy cập dữ liệu người dùng trên bất kỳ ứng dụng web nào, Som Somé giải thích.
Kết quả chứng minh rằng liên lạc giữa các extension của trình duyệt và ứng dụng web gây ra nhiều mối đe dọa nghiêm trọng về an ninh và quyền riêng tư cho các trình duyệt, ứng dụng web và quan trọng hơn là người dùng, theo nghiên cứu.
Sử dụng máy phân tích tĩnh có khả năng phát hiện các liên lạc đáng ngờ giữa các extension của trình duyệt và ứng dụng web, nhà nghiên cứu đã rà soát tổng cộng 78.315 extension và xác định 3.996 extension đáng ngờ trong Chrome, Firefox và Opera.
Phân tích thủ công cho ra kết quả là 197 extension riêng biệt (171 cho Chrome, 16 cho Firefox và 10 cho Opera) có thể bị khai thác bởi các ứng dụng web hoặc các tập lệnh được đưa vào các ứng dụng web này.
Các extension này cho phép các ứng dụng web thực thi mã tùy ý trong ngữ cảnh của các extension (có cùng đặc quyền), bỏ qua SOP và truy cập thông tin người dùng, lưu trữ và truy xuất dữ liệu trong bộ lưu trữ vĩnh viễn của extension và kích hoạt tải xuống các tệp tùy ý và lưu trữ chúng trên đó thiết bị người dùng.
Trong khi 55% các extension có dưới 1.000 người dùng, 45% còn lại có hàng nghìn lượt cài đặt, nhà nghiên cứu cho biết. Các danh mục có số lượng extension có thể bị khai thác lớn nhất bao gồm sản phẩm (81), xã hội và truyền thông (48), hài (19), khả năng truy cập (17) và công cụ dành cho nhà phát triển (15).
Các kết quả nghiên cứu đã được báo cáo đến các nhà cung cấp từ tháng 10/2018 và cả ba đều thừa nhận các vấn đề trên. Firefox đã xóa các extension và Opera đã xóa 8 trên 10. Nhóm Chrome tiếp tục đưa ra giải pháp phù hợp để giữ các extension này.
Mặc dù vậy, các nhà cung cấp trình duyệt cần kiểm soát các extension chặt chẽ hơn, đặc biệt có tính đến việc sử dụng các giao diện truyền tải thông điệp trong các extension. Các công cụ như máy phân tích tĩnh có thể giúp xác định và khắc phục các mối đe dọa về an ninh và quyền riêng tư, ông Somé, người cũng đề xuất các biện pháp đối phó, cho hay.
Các chuyên gia an ninh mạng của Bkav cảnh báo: Người dùng không nên cài đặt các extension không rõ nguồn gốc, Và gỡ các extension không cần thiết để giảm thiếu nguy cơ bị khai thác trong khi chờ các nhà phát triển phát hành các bản cập nhật
Mặc dù các ứng dụng web bị ràng buộc bởi Chính sách an ninh SOP và không thể truy cập dữ liệu từ các ứng dụng web khác trừ khi các cơ chế như CORS được áp dụng, các extension trình duyệt không tuân theo một quy tắc nhất định, đồng nghĩa với việc chúng có thể đọc và ghi dữ liệu trên các ứng dụng web.
Các extension cũng có quyền truy cập vào rất nhiều thông tin nhạy cảm của người dùng, bao gồm lịch sử duyệt web, dấu trang, thông tin đăng nhập (cookie) và danh sách các extension đã cài đặt và có thể tải xuống các tệp và lưu trữ chúng trên thiết bị của người dùng.
Các extension của trình duyệt và ứng dụng web được thực thi trong các ngữ cảnh riêng biệt, nhưng chúng có thể tương tác bằng cách trao đổi tin nhắn, bất kể trên trình duyệt nào. Điều này cho phép các ứng dụng web khai thác các khả năng đặc quyền của extension và đánh cắp thông tin người dùng nhạy cảm, Dolière Francis Somé từ Đại học Côte túizur, Inria, Pháp, cho biết trong một bài nghiên cứu (PDF).
Nhà nghiên cứu đã phân tích các giao diện liên lạc, giao tiếp với các ứng dụng web thông qua các extension của trình duyệt Chrome, Firefox và Opera. Somé đã phát hiện thấy nhiều giao diện có thể bị khai thác để truy cập vào các khả năng đặc quyền.
Thông qua API của các extension, các ứng dụng web có thể bỏ qua chính sách SOP và truy cập dữ liệu người dùng trên bất kỳ ứng dụng web nào, Som Somé giải thích.
Kết quả chứng minh rằng liên lạc giữa các extension của trình duyệt và ứng dụng web gây ra nhiều mối đe dọa nghiêm trọng về an ninh và quyền riêng tư cho các trình duyệt, ứng dụng web và quan trọng hơn là người dùng, theo nghiên cứu.
Sử dụng máy phân tích tĩnh có khả năng phát hiện các liên lạc đáng ngờ giữa các extension của trình duyệt và ứng dụng web, nhà nghiên cứu đã rà soát tổng cộng 78.315 extension và xác định 3.996 extension đáng ngờ trong Chrome, Firefox và Opera.
Phân tích thủ công cho ra kết quả là 197 extension riêng biệt (171 cho Chrome, 16 cho Firefox và 10 cho Opera) có thể bị khai thác bởi các ứng dụng web hoặc các tập lệnh được đưa vào các ứng dụng web này.
Các extension này cho phép các ứng dụng web thực thi mã tùy ý trong ngữ cảnh của các extension (có cùng đặc quyền), bỏ qua SOP và truy cập thông tin người dùng, lưu trữ và truy xuất dữ liệu trong bộ lưu trữ vĩnh viễn của extension và kích hoạt tải xuống các tệp tùy ý và lưu trữ chúng trên đó thiết bị người dùng.
Trong khi 55% các extension có dưới 1.000 người dùng, 45% còn lại có hàng nghìn lượt cài đặt, nhà nghiên cứu cho biết. Các danh mục có số lượng extension có thể bị khai thác lớn nhất bao gồm sản phẩm (81), xã hội và truyền thông (48), hài (19), khả năng truy cập (17) và công cụ dành cho nhà phát triển (15).
Các kết quả nghiên cứu đã được báo cáo đến các nhà cung cấp từ tháng 10/2018 và cả ba đều thừa nhận các vấn đề trên. Firefox đã xóa các extension và Opera đã xóa 8 trên 10. Nhóm Chrome tiếp tục đưa ra giải pháp phù hợp để giữ các extension này.
Mặc dù vậy, các nhà cung cấp trình duyệt cần kiểm soát các extension chặt chẽ hơn, đặc biệt có tính đến việc sử dụng các giao diện truyền tải thông điệp trong các extension. Các công cụ như máy phân tích tĩnh có thể giúp xác định và khắc phục các mối đe dọa về an ninh và quyền riêng tư, ông Somé, người cũng đề xuất các biện pháp đối phó, cho hay.
Các chuyên gia an ninh mạng của Bkav cảnh báo: Người dùng không nên cài đặt các extension không rõ nguồn gốc, Và gỡ các extension không cần thiết để giảm thiếu nguy cơ bị khai thác trong khi chờ các nhà phát triển phát hành các bản cập nhật
Nguồn: Security Week, Bkav