小心!恶意网站可通过扩展接口窃取浏览器内个人数据

2019-01-22 17:11 稿源:手机中国  0条评论

  【CNMO新闻】恶意网站可以利用浏览器扩展接口在浏览器内执行代码,以窃取书签、浏览历史、甚至用户cookie等敏感信息。攻击者可以劫持用户的活动登录会话和访问敏感帐户,例如电子邮件收件箱、社交媒体配置文件或与工作相关的帐户。此外,相同的扩展接口还可能被滥用来触发恶意文件的下载并将其存储在用户设备上,并在永久存储中存储和检索数据,这些数据可用于在web上跟踪用户。

  法国研究机构INRIA的研究员多里埃尔·弗朗西斯·瑟姆本月发表的一篇学术论文证明,这类攻击并非只是理论性的。有人创建了一个工具,并测试了超过78,000个Chrome、Firefox和Opera扩展。通过他的努力,他找到了197个暴露内部通信接口的web应用程序,它们可以允许恶意网站直接将数据存储在用户的浏览器中。

  这位研究人员说,在197个扩展中,只有15个(7.61%)是开发工具,这类扩展通常可以完全控制浏览器中发生的事情,而且他认为,这其实应该是更容易被利用的扩展。在所有易受攻击的扩展中,安装数量低于1000次的大约55%,超过1000次的约15%。他在1月初将自己的研究成果公布之前,就已经将这一发现告知了浏览器厂商。相关人士表示:“所有供应商都承认存在问题。”Firefox已经删除了所有的扩展,Chrome也承认报告的扩展存在问题。

  研究人员还创建了一个工具,让用户测试他们的扩展是否也包含可以被恶意网站利用的易受攻击的接口。这个工具是基于web的,并托管在这个页面上。要使用它,用户必须复制粘贴扩展清单的内容。即json文件。

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请

相关文章

相关热点

查看更多

关闭