一個CSRF(跨站請求偽造)漏洞存在于Yandex瀏覽器中徒仓,允許黑客觸發(fā)瀏覽器的同步功能,并讓其發(fā)送用戶的瀏覽數(shù)據(jù)至錯誤的賬戶上誊垢,進(jìn)而達(dá)到竊取用戶數(shù)據(jù)的目的掉弛。
Yandex是來自俄羅斯搜索巨頭的一款瀏覽器,具有超強的數(shù)據(jù)壓縮能力喂走,能實現(xiàn)頁面的快速加載殃饿。
如果這個漏洞被黑客加以利用,用戶的賬號密碼芋肠、瀏覽歷史記錄乎芳、網(wǎng)頁收藏和自動填充信息等,這些數(shù)據(jù)同步中會涉及到的數(shù)據(jù)帖池,都有可能被黑客竊取奈惑。
漏洞影響Yandex瀏覽器數(shù)據(jù)同步功能
這個漏洞存在于Yandex瀏覽器登錄程序中,在登錄界面睡汹,用戶會輸入他們登錄瀏覽器的電子郵箱賬戶和密碼肴甸。這個功能類似于chrome瀏覽器的數(shù)據(jù)同步。
該漏洞的發(fā)現(xiàn)者Ziyahan Albeniz囚巴,是著名的Web應(yīng)用漏洞掃描工具Netsparker的研究員原在。當(dāng)被問及該漏洞是否會影響到chrome瀏覽器的數(shù)據(jù)同步功能時友扰,他表示,一般來說庶柿,這種情況不會發(fā)生焕檬,雖然實現(xiàn)的是類似的功能,但chrome瀏覽器用于登錄驗證的程序架構(gòu)跟Yandex的并不一樣澳泵。
“如果對chrome瀏覽器的同步功能实愚,運行PoC(觀點驗證程序)來測試看看是否存在相同漏洞,暫時未發(fā)現(xiàn)有存在該漏洞的風(fēng)險兔辅±扒茫”研究員Albeniz還表示,“我?guī)缀鯇λ兄髁鳛g覽器進(jìn)行了CSRF漏洞的測試维苔,包括chrome瀏覽器和火狐瀏覽器碰辅。當(dāng)然,也許我的測試存在疏忽的地方介时,所以并不意味著別的瀏覽器一定不會存在該漏洞”没宾。
漏洞很容易通過惡意網(wǎng)頁被濫用
Albeniz的研究報告還指出,該漏洞的使用手段極其簡單沸柔,只需讓用戶點擊進(jìn)入某個預(yù)先設(shè)置好的惡意網(wǎng)頁循衰,就可以觸發(fā)漏洞。而這個網(wǎng)頁需要包含一個用于創(chuàng)建Yandex瀏覽器數(shù)據(jù)同步功能的登錄入口褐澎,以及提交的數(shù)據(jù)時經(jīng)由黑客的證書会钝。
這個CSRF漏洞會允許上述信息保持在線查看狀態(tài)的同時,開啟一個數(shù)據(jù)自動同步功能工三,并將數(shù)據(jù)備份并發(fā)送給黑客一份迁酸。需要注意的是,除非被攻擊用戶發(fā)現(xiàn)了漏洞俭正,并加以處理奸鬓,否則瀏覽器的數(shù)據(jù)同步功能,會持續(xù)將信息傳輸?shù)胶诳偷馁~戶之上掸读。
研究人員早在2015年的12月17日串远,就向Yandex方面披露過相關(guān)漏洞問題。然而Yandex公司對該漏洞的處理過程卻是一波三折寺枉,直到今年五月份抑淫,漏洞的修復(fù)才算完成绷落。
謹(jǐn)慎使用瀏覽器數(shù)據(jù)同步功能
Yandex瀏覽器漏洞的發(fā)現(xiàn)者也表示姥闪,雖然目前尚未發(fā)現(xiàn),但不排除別的瀏覽器上也存在類似的漏洞砌烁,為了盡量避免黑客利用類似漏洞竊取用戶重要隱私筐喳,用戶應(yīng)當(dāng)謹(jǐn)慎使用瀏覽器數(shù)據(jù)同步功能催式。
(1)定期清理瀏覽歷史記錄;
(2)合理使用隱私瀏覽(無痕)模式避归;
(3)盡量避免使用瀏覽器密碼自動填充荣月,可使用密碼管理器。
用戶的網(wǎng)頁瀏覽歷史一旦泄漏梳毙,會讓入侵者哺窄,有通過社工手段對用戶進(jìn)行二次攻擊或詐騙的可能,同時账锹,重要的賬號密碼使用瀏覽器的自動填充萌业,也不利于賬號安全,因此挑選一款合適的密碼管理器不失為一種更安全的選擇奸柬。目前國外比較知名的密碼管理軟件生年,有1password、Lastpass廓奕、keepass等抱婉,而國內(nèi)也有洋蔥這樣免費的密碼管理軟件。
參考鏈接:softpedia
