Các nhà nghiên cứu về an ninh mạng phát hiện ra một lỗ hổng nghiêm trọng trong tiện ích mở rộng phổ biến của Evernote Chrome có thể cho phép tin tặc chiếm quyền điều khiển trình duyệt của bạn và đánh cắp thông tin nhạy cảm từ bất kỳ trang web nào bạn truy cập.
Evernote là một dịch vụ phổ biến giúp mọi người ghi chú và sắp xếp danh sách công việc phải làm của họ và hơn 4.610.000 người dùng đã sử dụng Evernote Web Clipper Extension cho trình duyệt Chrome.
Lỗ hổng nghiêm trọng trong tiện ích mở rộng nổi tiếng của Chrome
Được phát hiện bởi Guardio, lỗ hổng (CVE-2019-12592) nằm trong cách thức tiện ích mở rộng Evernote Web Clipper tương tác với các trang web, iframe và tiêm script, cuối cùng phá vỡ chính sách cùng nguồn gốc của trình duyệt (SOP) và cơ chế cách ly tên miền.
Theo các nhà nghiên cứu, lỗ hổng này có thể cho phép một trang web do kẻ tấn công kiểm soát thực thi mã tùy ý trên trình duyệt trong bối cảnh các tên miền khác thay mặt người dùng, dẫn đến sự cố Universal Cross-site Scripting (UXSS hoặc Universal XSS).
Các nhà nghiên cứu cho biết: “Một khai thác đầy đủ sẽ cho phép tải tập lệnh do hacker kiểm soát từ xa vào ngữ cảnh của các trang web khác có thể đạt được thông qua một lệnh window.postMessage đơn giản. Bằng cách lạm dụng cơ sở hạ tầng intended injection của Evernote, tập lệnh độc hại sẽ được đưa vào tất cả các khung mục tiêu trong trang bất kể các ràng buộc về nguồn gốc chéo (cross-origin constraints).”
Như được trình bày trong video trình diễn, các nhà nghiên cứu cũng đã phát triển một khai thác Proof-of-Concept (PoC) có thể inject tải trọng tùy chỉnh trên các trang web được nhắm mục tiêu và đánh cắp cookie, thông tin đăng nhập và thông tin cá nhân khác từ người dùng.
Không còn nghi ngờ gì nữa, tiện ích mở rộng bổ sung rất nhiều tính năng hữu ích cho trình duyệt web của bạn, nhưng đồng thời, ý tưởng tin tưởng mã của bên thứ 3 nguy hiểm hơn nhiều so với hầu hết mọi người nhận ra.
Vì các tiện ích mở rộng chạy trong trình duyệt web của bạn, chúng thường yêu cầu khả năng thực hiện các yêu cầu mạng, truy cập và thay đổi nội dung của các trang web bạn truy cập, điều này gây ra mối đe dọa lớn cho quyền riêng tư và bảo mật của bạn, cho dù bạn đã cài đặt nó từ cửa hàng Firefox hoặc Chrome chính thức.
“Mặc dù tác giả ứng dụng dự định cung cấp trải nghiệm người dùng tốt hơn, các tiện ích mở rộng thường có quyền truy cập vào kho tài nguyên nhạy cảm và gây rủi ro bảo mật lớn hơn nhiều so với các trang web truyền thống”, các nhà nghiên cứu cảnh báo.
Nhóm Guardio báo cáo vấn đề này với Evernote vào cuối tháng trước, người sau đó đã phát hành một phiên bản cập nhật, vá lỗi của tiện ích mở rộng Evernote Web Clipper cho người dùng Chrome.
Vì Trình duyệt Chrome định kỳ, thường cứ sau 5 giờ, kiểm tra các phiên bản mới của tiện ích mở rộng đã cài đặt và cập nhật chúng mà không cần sự can thiệp của người dùng, bạn cần đảm bảo trình duyệt của bạn đang chạy phiên bản Evernote mới nhất 7.11.1 trở lên.
