Επίθεση στις επεκτάσεις του Chrome επιτρέπει την απενεργοποίησή τους

Ο ερευνητής ασφαλείας Mathias Karlsson, αναφέρει ότι επιτιθέμενοι μπορούν να αφαιρέσουν επεκτάσεις του Google Chrome, όπως τη δημοφιλή HTTPS Everywhere, χωρίς να χρειάζεται να κάνουν κάτι οι χρήστες της δημοφιλούς εφαρμογής, από το να επισκεφτούν μια ιστοσελίδα.website-security Chrome

Ο Karlsson (@avlidienbrunn) αναφέρει ότι η ευπάθεια υπάρχει στην τελευταία σταθερή έκδοση του Chrοme και επιτρέπει την επέμβαση στις επεκτάσεις χωρίς να απαιτείται ουσιαστική παρέμβαση.

“Μετά από μερικές ώρες ανάλυσης κατάφερα να απενεργοποιήσω το HTTPS Everywhere μόνο με την προβολή μιας σελίδας HTML,” αναφέρει ο Karlsson.

“Στην πραγματικότητα, κατάφερα να απενεργοποιήσω οποιαδήποτε επέκταση χωρίς την αλληλεπίδραση του χρήστη.”

Ο Karlsson δημοσίευσε ένα PoC που παρουσιάζει την απενεργοποίηση του HTTPS Everywhere.

Το ελάττωμα επηρεάζει όλους τους χρήστες που δεν ρυθμίσει τις αυτόματες ενημερώσεις του Chrome.

Οι επεκτάσεις μπορούν να καταστραφούν όταν οι ιστοσελίδες επιχειρούν να αποκτήσουν πρόσβαση στο Chrοme extension URI handler. Ένα κακόβουλο link που οδηγεί σε μια ειδικά διαμορφωμένη σελίδα που στέλνει αιτήματα ping στο εν λόγω χαρακτηριστικό, είναι αρκετό για την πραγματοποίηση της επίθεσης.

Η Google είχε μπλοκάρει τα περισσότερα αιτήματα του Chrοme URI για επεκτάσεις, αλλά φαίνεται ότι το ping λειτουργεί ακόμα.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).