瀏覽器擴充漏洞可能導致資料外洩或用戶曝光,Firefox、Chrome與Safari都受影響

瀏覽器擴充漏洞可能導致資料外洩或用戶曝光,Firefox、Chrome與Safari都受影響 研究人員利用特定的列舉攻擊手法,繞過主要瀏覽器的防護機制,取得使用者的擴充程式資訊,可能使得Tor、VPN用戶身份曝光。 文/林妍溱 | 2017-08-29發表 示意圖,與新聞事件無關。 研究人員發現Firefox、Safari及Chrome擴充程式機制出現漏洞,可能導致使用者的擴充程式被看光,致使以Tor或VPN匿名的用戶身份曝光。 西班牙德烏斯托大學研究人員Iskander Sanchez-Rola指出,擴充程式和瀏覽器的密切關係使其成為明顯的攻擊目標,用來竊取資訊與密碼、瀏覽上網活動記錄等等。雖然瀏覽器也加入了防護方式,像是存取控制設定及隨機URI(URI Randomization)機制,但Sanchez-Rola及其同僚進行的一項研究顯示,透過特定列舉攻擊(enumeration attack)手法,可繞過主要瀏覽器的防護功能,致使資訊曝光。 針對這些機制研究人員設計了破解方法。首先研究人員對瀏覽器存取控制設定發動計時旁路攻擊(timing side-channel),成功取得了瀏覽器中安裝的完整擴充程式,而這種技倆可以繞過所有主要瀏覽器的防護,包括Safari、Chrominum系列的瀏覽器如Chrome、Opera、Yandex、Comodo Dragon及舊版Firefox等。 第二種攻擊法則是針對Safari的隨機URI(URI Randomization)保護機制而來。這個機制能確保使用者上的網站URL不會外洩。研究人員透過名為URI外洩(URI leakage)的手法,對Safari擴充程式進行程式碼靜態分析,藉此曝露出數百個擴充程式,包括Tor或VPN的隨機URI,進而讓駭客或情治機關得以辨識出使用者。他們的測試顯示甚至能抓出40.5%的擴充程式URL。 事實上,本篇文章公佈時,這些漏洞都還未修補。研究人員表示希望能藉由揭露瀏覽器的弱點,促使瀏覽器及擴充程式開發商討論以及早催生防制措施。 iThome Security

更多訊息更多資料都在這裡喔!~磷蝦油~蝦青素~蜂王乳~血栓溶解酵素~蜂王漿~膠股力~芙婷寶~地龍粉~力雪達~蚯蚓粉~智勝王~南極寶~地龍酵素~蝦紅素~青春元素~膠骨力~保健食品~健康食品~PPLS

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *