Богданов Игорь Олегович (bogdan_63) wrote,
Богданов Игорь Олегович
bogdan_63

Давно все знают...

Эксперты из французского Университета Лазурного берега (Université Côte d’Azur) опубликовали интересный доклад, согласно которому расширения для браузеров могут использоваться злоумышленниками для исполнения произвольного кода и хищения данных пользователя, в том числе, закладок, истории и файлов куки.

Исследователи объясняют, что веб-приложения обычно защищает Same Origin Policy (SOP), и те не могут получить доступ к данным других веб-приложений, если в дело не вступает механизм Cross-Origin Resource Sharing (CORS).

Однако расширения для браузеров этим правилам не подчиняются и, по сути, могут иметь доступ к информации других веб-приложений.

Также аддоны могут загружать файлы и имеют доступ и к важным пользовательским данным, в том числе к истории браузера, закладкам, учетным данным (куки), списку установленных расширений. И хотя веб-приложения и расширения выполняются в разном контексте, они способны взаимодействовать друг с другом, независимо от используемого браузера.

Чтобы понять масштаб проблемы, эксперты изучили работу 78 315 расширений для Chrome, Firefox и Opera, обращая особенное внимание на их взаимодействие с веб-приложениями. 3996 расширений были признаны потенциально опасными, и 197 их них (171 для Chrome, 16 для Firefox и 10 для Opera) могут использоваться для атак на веб-приложения.

При помощи API таких расширений вредоносный сайт может добиться исполнения произвольного кода в контексте расширения (с тем же привилегиями), обойти SOP и получить доступ к информации пользователя, хранить и извлекать данные, загружать произвольные файлы и сохранять на устройстве пользователя.

Хотя 55% уязвимых расширений насчитывают менее 1000 пользователей, оставшиеся 45% имеют гораздо больше установок, а 15% из них и вовсе могут похвастаться более чем 10 000 загрузок. Как видно в таблице ниже, проблемные расширения относятся к самым разным категориям, от инструментов для разработчиков, до шоппинга и общения.

https://xakep.ru/2019/01/22/browser-extensions-danger/

Но обратите внимание на то, что Chrome самый опасный. )

Я никогда им не пользуюсь.

Tags: браузеры, дополнения
Subscribe

promo bogdan_63 december 1, 2021 13:42 978
Buy for 200 tokens
Очень рад, что вы заглянули в мой блог! Надеюсь, вам будут интересны мои записи. Предлагаю для начала посмотреть разделы: Мой сайт СССР Россия Медицина Медицинские байки Юмор Образование История Культура Буду рад всем новым друзьям. Присоединяйтесь, пообщаемся!…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments