1

Masz Evernote Web Clipper w Chrome? Mogłeś mieć niezły problem

Wygląda na to, że rozszerzenie dla usługi Evernote w przeglądarce Google Chrome mogło wystawić użytkowników tej platformy na ogromne ryzyko. Evernote Web Clipper charakteryzował się krytycznym wręcz błędem bezpieczeństwa: 4,600,000 użytkowników wtyczki dla przeglądarki Google mogło paść ofiarą cyberprzestępców.

Znalezieniem podatności wsławiła się firma Guardio. Tłumaczy ona, że w przypadku Evernote Web Clipper chodzi o Universal Cross-site Scripting. W wyniku tej luki, atakujący może wykonać złośliwy kod i następnie uzyskać dostęp do innych usług użytkownika. W takiej sytuacji, zabezpieczenia Chrome mogą zostać złamane, a stąd już prosta droga do danych użytkownika na innych stronach internetowych. Nie chodzi tutaj tylko o hasła, ale również dane komunikatorów, aktywne zalogowania, poczta e-mail i wiele, wiele innych. Nie trzeba raczej tłumaczyć, że zagrożone mogły być również konta bankowe i zgromadzone na nich środki?

Aby wykorzystać tę lukę, Guardio udowodniło, że wystarczy przekierować użytkownika na strony, które ładują ukryte elementy iframe z żądanymi stronami internetowymi, a następnie wykorzystać exploita do tego, by wtyczka Evernote’a wstrzyknęła niebezpieczny kod w załadowane iframe. Wtedy wprawny haker jest w stanie wyciągnąć właściwie wszystko, co mu się tylko podoba. Wystarczy zwrócić uwagę na PoC, który został udostępniony przez firmę – pokazano krok po kroku jak wygląda atak z użyciem wtyczki Evernote Web Clipper.

Jednak całe szczęście, Evernote dowiedziało się o tym błędzie jako pierwsze i było w stanie szybko zareagować. W maju, Guardio odezwało się do operatora platformy i powiadomiło go o istnieniu błędu bezpieczeństwa. 27 maja błąd został załatany, a 31 maja rozesłano go do użytkowników. 4 czerwca potwierdzono natomiast, że wykonane prace są wystarczające. Ci z Was, którzy nie są pewni wersji narzędzia Web Clipper, powinni sprawdzić to w panelu rozszerzeń Google Chrome. Załatana wersja to 7.11.1 lub wyższa.

To nie pierwszy raz, gdy rozszerzenie dla przeglądarki Google Chrome stwarza potencjalne niebezpieczeństwo

Pisałem o tym wielokrotnie na Antywebie – niektóre incydenty są związane ze złymi intencjami deweloperów – hakerów, inne zaś są wynikiem niedbalstwa twórców i błędów w kodzie. Pewne jest jednak jedno – korzystając z jakiekolwiek oprogramowania musimy być świadomi, że możemy korzystać z produktu wadliwego, który może zostać wykorzystany równie dobrze przez cyberprzestępców.

Google w zasadzie stawia sam siebie w roli gwaranta jakości oraz bezpieczeństwa wtyczek dla swojego produktu. Deweloperzy są obkładani ograniczeniami dotyczącymi tych małych programów, a także obowiązuje ich zbiór zasad, w których można wyczytać m. in. „ogólny zakaz publikowania złośliwych wtyczek”. Nie jest więc mile widziane publikowanie takich narzędzi, które przechwytują jakiekolwiek dane bez wiedzy i zgody użytkownika, które następnie są wykorzystywane w niekorzystny dla niego sposób. To oczywiście ogólniki, które w szczególnych sytuacjach mogą nie mieć żadnej mocy.

Artykuł: Rozszerzenia dla Google Chrome to spore ryzyko

Mimo wszystko, największym gwarantem bezpieczeństwa powinniśmy być my sami – dokonując aktualizacji oraz powstrzymując się od instalacji potencjalnie złośliwych wtyczek. Ale czy zawsze da się uniknąć niebezpieczeństwa?