API расширений могут использоваться для кражи данных из браузеров
Порядка 200 расширений для Chrome, Firefox и Opera уязвимы к подобным атакам.
Вредоносные web-сайты могут проэксплуатировать модули API в расширениях для выполнение кода в браузере и кражи важной информации, в частности, закладок, истории посещений и даже файлов cookie, с помощью которых атакующий может осуществить перехват сессий и получить доступ к ценным учетным записям (в почтовых сервисах, социальных сетях и рабочим аккаунтам). Более того, API расширений могут использоваться для загрузки вредоносных файлов и их хранения на устройстве жертвы, а также извлечения данных из хранилища расширения для дальнейшего отслеживания пользователей в интернете.
На проблему обратил внимание исследователь в области кибербезопасности Долье Франсис Сомэ (Dolière Francis Somé). С помощью разработанного им инструмента специалист протестировал более 78 тыс. расширений для браузеров Chrome, Firefox и Opera. Из них 197 расширений предоставляли web-доступ к своим коммуникационным интерфейсам и данным, хранимым в браузере пользователя (при нормальных обстоятельствах доступ к этой информации может получить только код расширения при наличии соответствующих разрешений). Примерно 55% расширений были установлены менее 1 тыс. раз, однако у более 15% программ число установок превышало 10 тыс.
Сомэ проинформировал производителей браузеров о проблеме. По его словам, Mozilla и Opera уже удалили все уязвимые расширения, а в Google рассматривают способы решения проблемы: удалить все расширения или же исправить их.
Исследователь разработал инструмент , с помощью которого пользователи могут проверить расширения на наличие уязвимых API. Полный список уязвимых расширений и более подробные результаты исследования доступны здесь .
