Главная » Новости
Сохранить все: безопасность информации. Регистрируйтесь на ключевое событие отрасли!В фокусе внимания — защита данных на каждом этапе их жизненного цикла. Вас ждут пять тематических треков. Рынок информации — кому и зачем нужны ваши данные.
• Стратегия и практика управления безопасностью данных.
• Законодательство и практика ИБ.
• Жизненный цикл данных. Теневые уязвимости.
• Бизнес и безопасность — ключевые вопросы топ-менеджеров.Забронируйте бесплатный билет →
Реклама. Рекламодатель ООО «ГАРДА ТЕХНОЛОГИИ», ИНН 5260443081, 18+

Аддоны Google Chrome могут красть с сайтов пароли в виде простого текста

Екатерина Быстрова 04 Сентября 2023 - 09:32
...
Аддоны Google Chrome могут красть с сайтов пароли в виде простого текста

Специалисты Висконсинского университета в Мэдисоне подготовили специальное расширение для браузера Chrome и загрузили его в официальный магазин Chrome Web Store, чтобы доказать возможность кражи паролей в виде простого текста из кода веб-сайтов.

Анализ текстовых полей для ввода в Chrome показал, что модель разрешений допускает нарушение принципа минимальных привилегий со стороны расширений.

Ситуацию усугубляют также практики хранения паролей, которые демонстрируют отдельные веб-ресурсы. Например, на ряде сайтов Google и Cloudflare пароли могут храниться в виде простого текста непосредственно в HTML-коде страниц.

В результате условный установленный аддон Chrome может извлечь аутентификационную информацию.

Как объяснили исследователи, проблема кроется в пагубной практике — давать расширениям неограниченный доступ к дереву DOM сайтов, где они загружаются. Такой подход позволяет авторам аддонов добраться до конфиденциальных данных, которые пользователь вводит в поля.

Фактически условное расширение может воспользоваться API DOM для прямого извлечения значений введённых в поля данных, обходя при этом обфускацию. Протокол Manifest V3, который добавили в Google Chrome, ограничивает использование API, но всё равно не проводит чётких границ между расширениями и веб-страницами.

 

В качестве демонстрационного эксплойта (PoC) эксперты загрузили специальное расширение для Chrome, способное воровать пароли пользователей. В отчёте (PDF) утверждается, что в общей сложности 17 300 аддонов в Chrome Web Store (12,5%) запрашивают разрешение на работу с конфиденциальной информацией.

Помимо этого, специалисты опубликовали список сайтов, на которых отметились проблемы:

  • gmail.com – пароли в виде открытого текста в коде HTML;
  • cloudflare.com – пароли в виде открытого текста в коде HTML;
  • facebook.com (ресурс принадлежит Meta, признанной экстремистской и запрещённой на территории России) – пользовательский ввод можно извлечь с помощью DOM API;
  • citibank.com – пользовательский ввод можно извлечь с помощью DOM API;
  • irs.gov – SSN хранятся в виде открытого текста в коде HTML;
  • capitalone.com – SSN хранятся в виде открытого текста в коде HTML;
  • usenix.org – SSN хранятся в виде открытого текста в коде HTML;
  • amazon.com – данные банковских карт (включая код безопасности) и индекс хранятся в виде открытого текста в коде HTML.

Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

BI.ZONE Secure SD‑WAN сертифицирован по требованиям к СКЗИ класса КС1
Татьяна Никитина 26 Сентября 2024 - 17:24
Соответствие законодательству РФ Корпорации Соответствие требованиям регуляторов BI.ZONE
BI.ZONE Secure SD‑WAN сертифицирован по требованиям к СКЗИ класса КС1

ООО «Безопасная информационная зона» и «КРИПТО-ПРО» получили сертификаты соответствия на платформу BI.ZONE Secure SD‑WAN в двух вариантах исполнения. Документы выданы ФСБ России по результатам испытаний, проведенных специалистами КриптоПро.

Сертификаты СФ/124‑4981 и СФ/124‑4982 от 03.09.2024 (PDF) удостоверяют соответствие продукта требованиям к средствам криптографической защиты информации класса КС1, а также возможность его использования для защиты конфиденциальных данных, за исключением подпадающих под гостайну.

Это означает, что BI.ZONE Secure SD‑WAN могут применять, к примеру, операторы ПДн или субъекты КИИ — финансовые институты, промпредприятия, медицинские учреждения.

Платформа, предназначенная для построения распределенных корпоративных сетей на базе VPN, имеет встроенные функции безопасности. Она использует собственный протокол управления и доработанный WireGuard, поддерживает шифрование по ГОСТ и включена в реестр российского программного обеспечения.

«Внедрение российских криптографических алгоритмов в перспективные сетевые протоколы, а также проведение их всесторонних исследований в рамках нормативной базы в области защиты информации — одна из востребованных на сегодняшний день задач, которая в платформе BI.ZONE Secure SDWAN успешно была решена и получила одобрение ФСБ России, что подтверждается сертификатами соответствия», — с удовлетворением отметил Дмитрий Багин, руководитель испытательной лаборатории КриптоПро.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Google продлит поддержку ядра Linux для Android-устройств
Новость
Google продлит поддержку ядра Linux для Android-устройств
Отравление ИИ привело к реальному отравлению целой семьи
Новость
Отравление ИИ привело к реальному отравлению целой семьи
Бреши в macOS-версиях Word, Excel позволяют добраться до ваших данных
Новость
Бреши в macOS-версиях Word, Excel позволяют добраться до ваш...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.