一個CSRF(跨站請求偽造)漏洞存在于Yandex瀏覽器中,允許黑客觸發(fā)瀏覽器的同步功能,并讓其發(fā)送用戶的瀏覽數(shù)據(jù)至錯誤的賬戶上,進而達到竊取用戶數(shù)據(jù)的目的。
Yandex是來自俄羅斯搜索巨頭的一款瀏覽器,具有超強的數(shù)據(jù)壓縮能力,能實現(xiàn)頁面的快速加載。
如果這個漏洞被黑客加以利用,用戶的賬號密碼、瀏覽歷史記錄、網(wǎng)頁收藏和自動填充信息等,這些數(shù)據(jù)同步中會涉及到的數(shù)據(jù),都有可能被黑客竊取。
漏洞影響Yandex瀏覽器數(shù)據(jù)同步功能
這個漏洞存在于Yandex瀏覽器登錄程序中,在登錄界面,用戶會輸入他們登錄瀏覽器的電子郵箱賬戶和密碼。這個功能類似于chrome瀏覽器的數(shù)據(jù)同步。
該漏洞的發(fā)現(xiàn)者Ziyahan Albeniz,是著名的Web應(yīng)用漏洞掃描工具Netsparker的研究員。當(dāng)被問及該漏洞是否會影響到chrome瀏覽器的數(shù)據(jù)同步功能時,他表示,一般來說,這種情況不會發(fā)生,雖然實現(xiàn)的是類似的功能,但chrome瀏覽器用于登錄驗證的程序架構(gòu)跟Yandex的并不一樣。
“如果對chrome瀏覽器的同步功能,運行PoC(觀點驗證程序)來測試看看是否存在相同漏洞,暫時未發(fā)現(xiàn)有存在該漏洞的風(fēng)險。”研究員Albeniz還表示,“我?guī)缀鯇λ兄髁鳛g覽器進行了CSRF漏洞的測試,包括chrome瀏覽器和火狐瀏覽器。當(dāng)然,也許我的測試存在疏忽的地方,所以并不意味著別的瀏覽器一定不會存在該漏洞”。
漏洞很容易通過惡意網(wǎng)頁被濫用
Albeniz的研究報告還指出,該漏洞的使用手段極其簡單,只需讓用戶點擊進入某個預(yù)先設(shè)置好的惡意網(wǎng)頁,就可以觸發(fā)漏洞。而這個網(wǎng)頁需要包含一個用于創(chuàng)建Yandex瀏覽器數(shù)據(jù)同步功能的登錄入口,以及提交的數(shù)據(jù)時經(jīng)由黑客的證書。
這個CSRF漏洞會允許上述信息保持在線查看狀態(tài)的同時,開啟一個數(shù)據(jù)自動同步功能,并將數(shù)據(jù)備份并發(fā)送給黑客一份。需要注意的是,除非被攻擊用戶發(fā)現(xiàn)了漏洞,并加以處理,否則瀏覽器的數(shù)據(jù)同步功能,會持續(xù)將信息傳輸?shù)胶诳偷馁~戶之上。
研究人員早在2015年的12月17日,就向Yandex方面披露過相關(guān)漏洞問題。然而Yandex公司對該漏洞的處理過程卻是一波三折,直到今年五月份,漏洞的修復(fù)才算完成。
謹慎使用瀏覽器數(shù)據(jù)同步功能
Yandex瀏覽器漏洞的發(fā)現(xiàn)者也表示,雖然目前尚未發(fā)現(xiàn),但不排除別的瀏覽器上也存在類似的漏洞,為了盡量避免黑客利用類似漏洞竊取用戶重要隱私,用戶應(yīng)當(dāng)謹慎使用瀏覽器數(shù)據(jù)同步功能。
(1)定期清理瀏覽歷史記錄;
(2)合理使用隱私瀏覽(無痕)模式;
(3)盡量避免使用瀏覽器密碼自動填充,可使用密碼管理器。
用戶的網(wǎng)頁瀏覽歷史一旦泄漏,會讓入侵者,有通過社工手段對用戶進行二次攻擊或詐騙的可能,同時,重要的賬號密碼使用瀏覽器的自動填充,也不利于賬號安全,因此挑選一款合適的密碼管理器不失為一種更安全的選擇。目前國外比較知名的密碼管理軟件,有1password、Lastpass、keepass等,而國內(nèi)也有洋蔥這樣免費的密碼管理軟件。
參考鏈接:softpedia
