Trình duyệt Opera sửa lỗ hổng bảo mật lớn có thể làm lộ thông tin của bạn
Trình duyệt Opera sửa lỗ hổng bảo mật lớn có thể làm lộ thông tin của bạn
Một lỗ hổng bảo mật hiện đã được vá trong trình duyệt web Opera có thể cho phép tiện ích mở rộng độc hại có được quyền truy cập đầy đủ, trái phép vào các API riêng tư.
Guardio Labs cho biết cuộc tấn công có tên mã là CrossBarking có thể khiến nó có thể thực hiện các hành động như chụp ảnh màn hình, sửa đổi cài đặt trình duyệt và chiếm đoạt tài khoản.
Để chứng minh vấn đề này, công ty cho biết họ đã cố gắng phát hành một tiện ích mở rộng trình duyệt có vẻ vô hại lên Chrome Web Store, sau đó có thể khai thác lỗ hổng khi cài đặt trên Opera, biến nó thành một trường hợp tấn công cửa hàng trình duyệt chéo.
"Nghiên cứu điển hình này không chỉ làm nổi bật sự xung đột lâu đời giữa năng suất và bảo mật mà còn cung cấp cái nhìn sâu sắc hấp dẫn về các chiến thuật được các tác nhân đe dọa hiện đại sử dụng hoạt động ngay dưới radar", Nati Tal, người đứng đầu Guardio Labs, cho biết trong một báo cáo được chia sẻ với The Hacker News.
Opera đã giải quyết vấn đề này kể từ ngày 24 tháng 9 năm 2024, sau khi tiết lộ một cách có trách nhiệm. Tuy nhiên, đây không phải là lần đầu tiên các lỗ hổng bảo mật được phát hiện trong trình duyệt.
Vào đầu tháng 1, thông tin chi tiết về lỗ hổng được theo dõi là MyFlaw đã xuất hiện, lỗ hổng này lợi dụng một tính năng hợp lệ có tên là My Flow để thực thi bất kỳ tệp nào trên hệ điều hành cơ bản.
Kỹ thuật tấn công mới nhất dựa trên thực tế là một số tên miền phụ có thể truy cập công khai do Opera sở hữu có quyền truy cập đặc quyền vào các API riêng được nhúng trong trình duyệt. Các tên miền này được sử dụng để hỗ trợ các tính năng dành riêng cho Opera như Opera Wallet, Pinboard và các tính năng khác, cũng như các tính năng được sử dụng trong quá trình phát triển nội bộ.
Tên của một số miền, bao gồm cả một số miền của bên thứ ba, được liệt kê bên dưới -
- crypto-corner.op-test.net
- op-test.net
- gxc.gg
- opera.atlassian.net
- pinboard.opera.com
- instagram.com
- yandex.com
Trong khi hộp cát đảm bảo rằng ngữ cảnh trình duyệt vẫn tách biệt với phần còn lại của hệ điều hành, nghiên cứu của Guardio phát hiện ra rằng các tập lệnh nội dung có trong tiện ích mở rộng của trình duyệt có thể được sử dụng để đưa JavaScript độc hại vào các miền quá dễ dãi và truy cập vào các API riêng tư.
"Tập lệnh nội dung có quyền truy cập vào DOM (Mô hình đối tượng tài liệu)", Tal giải thích. "Điều này bao gồm khả năng thay đổi động, cụ thể là bằng cách thêm các thành phần mới".
Được trang bị quyền truy cập này, kẻ tấn công có thể chụp ảnh màn hình của tất cả các tab đang mở, trích xuất cookie phiên để chiếm đoạt tài khoản và thậm chí sửa đổi cài đặt DNS-over-HTTPS (DoH) của trình duyệt để giải quyết các miền thông qua máy chủ DNS do kẻ tấn công kiểm soát.
Điều này sau đó có thể tạo tiền đề cho các cuộc tấn công kẻ thù ở giữa (AitM) mạnh mẽ khi nạn nhân cố gắng truy cập các trang web ngân hàng hoặc phương tiện truyền thông xã hội bằng cách chuyển hướng họ đến các trang web độc hại của họ.
Về phần mình, tiện ích mở rộng độc hại có thể được xuất bản dưới dạng thứ gì đó vô hại đối với bất kỳ danh mục tiện ích bổ sung nào, bao gồm cả Cửa hàng web Google Chrome, nơi người dùng có thể tải xuống và thêm vào trình duyệt của họ, kích hoạt hiệu quả cuộc tấn công. Tuy nhiên, nó yêu cầu quyền chạy JavaScript trên bất kỳ trang web nào, đặc biệt là các tên miền có quyền truy cập vào API riêng tư.
Với các tiện ích mở rộng trình duyệt lừa đảo liên tục xâm nhập vào các cửa hàng chính thức, chưa kể đến một số tiện ích mở rộng hợp pháp không minh bạch về hoạt động thu thập dữ liệu của họ, những phát hiện này nhấn mạnh sự cần thiết phải thận trọng trước khi cài đặt chúng.
"Các tiện ích mở rộng trình duyệt có sức mạnh đáng kể — dù tốt hay xấu", Tal cho biết. "Do đó, những người thực thi chính sách phải giám sát chặt chẽ chúng".
"Mô hình đánh giá hiện tại còn nhiều thiếu sót; chúng tôi khuyến nghị nên tăng cường mô hình này bằng nguồn nhân lực bổ sung và các phương pháp phân tích liên tục để theo dõi hoạt động của tiện ích mở rộng ngay cả sau khi phê duyệt. Ngoài ra, việc thực thi xác minh danh tính thực đối với tài khoản nhà phát triển là rất quan trọng, do đó, chỉ sử dụng email miễn phí và thẻ tín dụng trả trước là không đủ để đăng ký."
Hương – Theo TheHackerNews
Tin liên quan:
NTS xin thông báo đến Quý khách hàng thời gian kì nghỉ của công ty năm 2024 từ Thứ Bảy 30/11/2024 đến thứ Hai 02/12/2024. Chúng tôi làm việc trở lại...
Chi tiếtCác nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiến dịch nhắm vào Úc, Nhật Bản, Tây Ban Nha, Vương...
Chi tiếtGoogle đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh email khi đăng ký dịch vụ trực tuyến và chống thư rác...
Chi tiết