Poważna luka w Read&Write dla Chrome

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19243
Reakcje/Polubienia
56075
Rozszerzenie Read&Write do Chrome mogło wiedzieć o tobie wszystko. No może nie dosłownie wszystko, ale na pewno potrafiło przeczytać
Zaloguj lub Zarejestruj się aby zobaczyć!
wiadomości e-mail z Gmaila, Outlooka, WP, Interii, Onetu i nieskończenie wielu innych kont pocztowych uruchomionych w przeglądarce. W przedstawionym dowodzie koncepcji nie wykorzystano żadnej luki w zabezpieczeniach Gmaila, ani też luki 0-day w przeglądarce. Atak XSS na API rozszerzenia Read&Write zainstalowanego prawie 8 milionów razy dawał możliwość wyświetlenia na przygotowanej przez atakującego stronie internetowej wszystkich wiadomości, które znajdowały się na poczcie. W jaki sposób?

Rozszerzenie używało pliku inject.js do wstrzykiwania paska narzędzi na dowolny adres URL. To czy strony były wczytywane po HTTP lub HTTPS nie miało większego znaczenia, ponieważ obsługiwane „bezpieczne” wstrzykiwanie kodu do kart uruchomionych w przeglądarce obsługiwano lokalnie z ominięciem SOP przeglądarki. Taki „atak” był jak najbardziej możliwy do wykonania przez twórców rozszerzenia. A dowodzi o tym plik manifestu przedstawiający wstrzykiwanie pliku inject.js na szyfrowane i nieszyfrowane strony:
...trimmed for brevity...
"content_scripts": [
{
"matches": [ "
Zaloguj lub Zarejestruj się aby zobaczyć!
", "
Zaloguj lub Zarejestruj się aby zobaczyć!
" ],
"js": [ "inject.js" ],
"run_at": "document_idle",
"all_frames": true
}
],
...trimmed for brevity...
Kliknij aby rozwinąć...
Rozszerzenie wysyłało kod z inject.js na stronę z dowolnym adresem URL, a żądanie było wykonywane z użyciem plików cookie ofiary, co oznacza, że ładunek mógł kraść zawartość dowolnej strony internetowej, na której był zalogowany użytkownik, tak jak na poniższym filmiku:



Opracowany exploit mógł być umiejscowiony przez atakującego pod dowolnym adresem URL i odczytywać zawartość innej strony WWW. Autor luki zwraca też uwagę na możliwość otworzenia nieskończonej ilości kart (co z pewnością wysyciłoby całą dostępną pamięć RAM). Zaprezentowany PoC robił jedno, ale atak na lukę w rozszerzeniu może być wykorzystany nie tylko do kradzieży zawartości skrzynki pocztowej, ale też do kradzieży loginów i haseł po uprzednim wstrzyknięciu innego kodu JavaScript, pełniącego rolę serwera proxy.

read-write.jpg

Luka w rozszerzeniu Read&Write została zgłoszona 3 czerwca i załatana dzień później. Jeżeli korzystacie z tego dodatku, tak jak 8 milionów innych użytkowników, to upewnijcie się, że macie zaktualizowaną wersję do 1.8.0.151.

W podobny sposób możliwe było
Zaloguj lub Zarejestruj się aby zobaczyć!
. Trzy i pół miliona użytkowników mogło stracić dostęp do konta przez błąd w zabezpieczeniach pozwalający na ujawnienie identyfikatora uwierzytelnienia i tajnego tokenu.
Kliknij aby rozwinąć...

źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

al
Wyciekły hasła z kilku portali
Odpowiedzi
0
Wyświetleń
54
al
al
OXYGEN THIEF
Zaatakowano polski szpital i oczyszczalnię. Kierunek rosyjski
Odpowiedzi
0
Wyświetleń
91
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Oracle w końcu się przyznało. Dane klientów zostały skradzione z chmury
Odpowiedzi
0
Wyświetleń
107
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Prawdopodobny wyciek danych klientów empik, dane rzekomo wykradzione z Empiku zostały sprytnie sfałszowane
Odpowiedzi
0
Wyświetleń
167
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Wyciekły dane klientów kolejnych polskich sklepów
Odpowiedzi
0
Wyświetleń
200
OXYGEN THIEF
OXYGEN THIEF
Do góry