Дыра в Chrome позволяет узнать личные данные жертвы

20 августа 2018 г., понедельник

Отправляя на различные ресурсы HTML-запросы с медиатегами, злоумышленник способен выяснить сведения о посетителе сайта.

Злоумышленники могут получить информацию о жертве, проанализировав отклики целевого сайта на запросы, сформированные в Chrome через аудио- и видеотеги. К такому выводу пришел специалист компании Imperva Рон Масас (Ron Masas), который обнаружил уязвимость. Google залатала баг в очередном апдейте браузера.

Как пояснил исследователь, атакующий может разместить на своем сайте вредоносный скрипт, автоматически отправляющий серию запросов на ресурсы, где авторизован посетитель. На основании размера полученного ответа злоумышленник способен определить некоторые персональные данные жертвы.

Масас опубликовал исходник скрипта, который позволяет выяснить возраст посетителя вредоносного сайта при помощи запросов к Facebook. Как пояснил эксперт, злоумышленник может установить для определенной аудитории ограничения на просмотр своих публикаций в социальной сети. Например, сделать одну из них видимой только для пользователей от 20 до 21 года, другую — от 21 до 22 лет. Обратившись от имени жертвы к таким постам, мошенник получит разные ответы в случае одобрения или запрета доступа и узнает год рождения жертвы.

По мнению ИБ-специалиста Майка Гуалтьери (Mike Gualtieri), эксплуатация уязвимости может привести к утечке более значимых данных, если киберпреступники попробуют обратиться к корпоративным ИТ-системам. Эксперт подчеркнул, что такие платформы часто хранят финансовую информацию.

Еще одним направлением атаки могут стать API различных веб-сервисов. Например, сформировав серию запросов к программному интерфейсу фондовой биржи, злоумышленник способен выяснить объем торгов.

Масас сообщил Google об уязвимости CVE-2018-6177 в марте 2018 года. В конце июля разработчик закрыл дыру, выпустив Chrome версии 68.0.3440.75. В этом же релизе создатели браузера залатали еще четыре десятка брешей, пять из которых оцениваются как критические.

Помимо заплаток разработчики добавили в Chrome новый виджет. В 68-й версии браузер стал помечать сайты, не использующие HTTPS, как не защищенные. Соответствующее предупреждение появилось в адресной строке. Начиная с версии 70 интернет-обозреватель Google будет выделять это сообщение красным цветом при заполнении на небезопасном ресурсе любых форм.

Threatpost