Trình duyệt Opera sửa lỗ hổng bảo mật lớn có thể làm lộ thông tin của bạn
Một lỗ hổng bảo mật hiện đã được vá trong trình duyệt web Opera có thể cho phép tiện ích mở rộng độc hại có được quyền truy cập đầy đủ, trái phép vào các API riêng tư.
Guardio Labs cho biết cuộc tấn công có tên mã là CrossBarking có thể khiến nó có thể thực hiện các hành động như chụp ảnh màn hình, sửa đổi cài đặt trình duyệt và chiếm đoạt tài khoản.
Để chứng minh vấn đề này, công ty cho biết họ đã cố gắng phát hành một tiện ích mở rộng trình duyệt có vẻ vô hại lên Chrome Web Store, sau đó có thể khai thác lỗ hổng khi cài đặt trên Opera, biến nó thành một trường hợp tấn công cửa hàng trình duyệt chéo.
"Nghiên cứu điển hình này không chỉ làm nổi bật sự xung đột lâu đời giữa năng suất và bảo mật mà còn cung cấp cái nhìn sâu sắc hấp dẫn về các chiến thuật được các tác nhân đe dọa hiện đại sử dụng hoạt động ngay dưới radar", Nati Tal, người đứng đầu Guardio Labs, cho biết trong một báo cáo được chia sẻ với The Hacker News.
Opera đã giải quyết vấn đề này kể từ ngày 24 tháng 9 năm 2024, sau khi tiết lộ một cách có trách nhiệm. Tuy nhiên, đây không phải là lần đầu tiên các lỗ hổng bảo mật được phát hiện trong trình duyệt.
Vào đầu tháng 1, thông tin chi tiết về lỗ hổng được theo dõi là MyFlaw đã xuất hiện, lỗ hổng này lợi dụng một tính năng hợp lệ có tên là My Flow để thực thi bất kỳ tệp nào trên hệ điều hành cơ bản.
Kỹ thuật tấn công mới nhất dựa trên thực tế là một số tên miền phụ có thể truy cập công khai do Opera sở hữu có quyền truy cập đặc quyền vào các API riêng được nhúng trong trình duyệt. Các tên miền này được sử dụng để hỗ trợ các tính năng dành riêng cho Opera như Opera Wallet, Pinboard và các tính năng khác, cũng như các tính năng được sử dụng trong quá trình phát triển nội bộ.
Tên của một số miền, bao gồm cả một số miền của bên thứ ba, được liệt kê bên dưới -
- crypto-corner.op-test.net
- op-test.net
- gxc.gg
- opera.atlassian.net
- pinboard.opera.com
- instagram.com
- yandex.com
Trong khi hộp cát đảm bảo rằng ngữ cảnh trình duyệt vẫn tách biệt với phần còn lại của hệ điều hành, nghiên cứu của Guardio phát hiện ra rằng các tập lệnh nội dung có trong tiện ích mở rộng của trình duyệt có thể được sử dụng để đưa JavaScript độc hại vào các miền quá dễ dãi và truy cập vào các API riêng tư.
"Tập lệnh nội dung có quyền truy cập vào DOM (Mô hình đối tượng tài liệu)", Tal giải thích. "Điều này bao gồm khả năng thay đổi động, cụ thể là bằng cách thêm các thành phần mới".
Được trang bị quyền truy cập này, kẻ tấn công có thể chụp ảnh màn hình của tất cả các tab đang mở, trích xuất cookie phiên để chiếm đoạt tài khoản và thậm chí sửa đổi cài đặt DNS-over-HTTPS (DoH) của trình duyệt để giải quyết các miền thông qua máy chủ DNS do kẻ tấn công kiểm soát.
Điều này sau đó có thể tạo tiền đề cho các cuộc tấn công kẻ thù ở giữa (AitM) mạnh mẽ khi nạn nhân cố gắng truy cập các trang web ngân hàng hoặc phương tiện truyền thông xã hội bằng cách chuyển hướng họ đến các trang web độc hại của họ.
Về phần mình, tiện ích mở rộng độc hại có thể được xuất bản dưới dạng thứ gì đó vô hại đối với bất kỳ danh mục tiện ích bổ sung nào, bao gồm cả Cửa hàng web Google Chrome, nơi người dùng có thể tải xuống và thêm vào trình duyệt của họ, kích hoạt hiệu quả cuộc tấn công. Tuy nhiên, nó yêu cầu quyền chạy JavaScript trên bất kỳ trang web nào, đặc biệt là các tên miền có quyền truy cập vào API riêng tư.
Với các tiện ích mở rộng trình duyệt lừa đảo liên tục xâm nhập vào các cửa hàng chính thức, chưa kể đến một số tiện ích mở rộng hợp pháp không minh bạch về hoạt động thu thập dữ liệu của họ, những phát hiện này nhấn mạnh sự cần thiết phải thận trọng trước khi cài đặt chúng.
"Các tiện ích mở rộng trình duyệt có sức mạnh đáng kể — dù tốt hay xấu", Tal cho biết. "Do đó, những người thực thi chính sách phải giám sát chặt chẽ chúng".
"Mô hình đánh giá hiện tại còn nhiều thiếu sót; chúng tôi khuyến nghị nên tăng cường mô hình này bằng nguồn nhân lực bổ sung và các phương pháp phân tích liên tục để theo dõi hoạt động của tiện ích mở rộng ngay cả sau khi phê duyệt. Ngoài ra, việc thực thi xác minh danh tính thực đối với tài khoản nhà phát triển là rất quan trọng, do đó, chỉ sử dụng email miễn phí và thẻ tín dụng trả trước là không đủ để đăng ký."
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...
Cuộc tấn công Microsoft 365 mới có thể p...
Người dùng chưa đủ 18 tuổi sẽ không được...
Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...
Kỹ thuật hack này có thể cách ly may tín...
Tính năng Email được bảo vệ mới của Gmai...
-
BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
-
Chương trình Khuyến mãi “Vòng quay may mắn” 2024
-
Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
-
Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
-
Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
-
Hướng dẫn cài đặt và kích hoạt Kaspersky for Windo...
-
ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tên này
-
Cuộc tấn công Microsoft 365 mới có thể phá vỡ hàng...
-
Chương trình Khuyến mãi “Vòng quay may mắn” 2024
-
Người dùng chưa đủ 18 tuổi sẽ không được dùng filt...
-
Thông báo thời gian kì nghỉ công ty năm 2024
-
Top 8 phần mềm chatbot AI miễn phí phổ biến hiện n...
LIÊN HỆ
![Thông tin liên hệ](https://static.kaspersky.proguide.vn/image/2024/9/1/1500_796x271.jpg)