25% протестированных расширений Google Chrome допускают кражу данных

Обнаружено, что 27 из 100 протестированных расширений Google Chrome уязвимы к атакам по извлечению данных (паролей, истории и т.д.) специально разработанными вредоносными сайтами и взломщиками открытых Wi-Fi сетей.



Трое исследователей безопасности вручную проанализировали 50 наиболее популярных расширений Chrome и прибавили к этому списку ещё 50 выбранных наугад, сообщает xakep.ru

"Мы искали уязвимости JavaScript-инъекций в ядре расширений (странице опций, бэкграундк и поп-апах); инъекция скриптов в ядре позволяет получить полный контроль над расширением", - объяснил Адриан Портер Фелт, один из исследователей. Чтобы доказать своё заявление, они разработали PoC–атаки для того, чтобы использовать уязвимости в своих целях.

Плохая новость состоит в том, что более 25% протестированных расширений были признаны уязвимыми, и семь из них используют более 300 000 пользователей.

Но есть и хорошая новость: 49 из 51 уязвимостей можно пропатчить просто используя одно из двух предложенных правил безопасности (Content Security Policies).

Эти правила различными способами предотвращают внедрение вредоносных кодов: запрещая использование eval функций, так что непроверенные данные не могут быть использованы в качестве кода; перемещая легальный JavaScript в файл .js , так что когда внедряются вредоносные скрипты, они отличаются от законных и их можно сразу распознать; и полностью или частично отвергая все внешние скрипты.

"В дополнение к основным ошибкам, расширения могут добавлять уязвимости на сайты", - отмечает Портер Войлок. "CSP не смогут предотвратить это, но разработчики должны помнить, что нельзя использовать innerHTML для модификации веб-сайтов. Вместо этого используйте innerText или DOM-методы, такие как AppendChild. Расширения также не должны добавлять HTTP-скрипты или CSS для сайтов HTTPS".

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

WhatsApp капитулировал и перенёс новые правила передачи данных на май

WhatsApp решил пока не рисковать и отложить вступление в силу новой политики, которая будет диктовать правила обмена пользовательскими данными между проектами Facebook. Скорее всего, руководство сервиса обмена сообщениями обратило внимание на реакцию людей и их отток после анонса новых правил.

Изначально обновлённая политика должна была вступить в силу 8 февраля. Однако теперь, когда представители мессенджера прочувствовали отношение пользователей, вопрос отложили до 15 мая.

Услышав об изменениях правил использования WhatsApp, многие выразили недовольство, поскольку Facebook решил собирать ещё больше данных юзеров и распределять их по своим сервисам: Instagram, Messenger. Пользователи потребовали больше прозрачности в отношении информации, которую планируют передавать проектам Цукерберга.

Facebook практически сразу начал оправдываться, подчёркивая, что новая политика не распространяется на частные переписки. Более того, представители WhatsApp отметили, что компания не видит чаты пользователей и не слушает их звонки.

На днях в блоге WhatsApp появилась запись, согласно которой вступление в силу новых правил передачи данных переносится на середину мая. Также разработчики мессенджера прояснили ряд других нюансов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru