O vulnerabilitate din Google Chrome expune miliarde de utilizatori la furtul de date. Ce poţi face?
0O vulnerabilitate în browserele bazate pe Chromium ar permite atacatorilor să ocolească Politica de securitate a conţinutului (CSP) pe site-urile web, pentru a fura date şi pentru a executa un cod periculos.
Bug-ul (CVE-2020-6519) se găseşte în Chrome, Opera şi Edge, pe Windows, Mac şi Android - şi ar putea afecta miliarde de utilizatori web, potrivit cercetătorului în securitate cibernetică Gal Weizman, de la PerimeterX . Versiunile Chrome 73 (martie 2019) până la 83 sunt afectate (84 a fost lansat în iulie 2020 şi soluţionează problema).
CSP este un standard web care are scopul de a zădărnici anumite tipuri de atacuri, inclusiv scripturi de site-uri (XSS) şi atacuri cu injecţie de date. CSP permite administratorilor web să specifice domeniile pe care un browser ar trebui să le considere surse valide de scripturi executabile. Un browser compatibil CSP va executa doar scripturi încărcate în fişierele sursă primite din domeniile respective.
„CSP este metoda principală folosită de proprietarii site-urilor web pentru a implementa politicile de securitate a datelor pentru a preveni executarea de coduri nocive pe site-ul lor web, astfel încât, atunci când aceasta poate fi ocolită, datele personale ale utilizatorului sunt în pericol”, a explicat Weizman, în cercetările publicate la luni, 10 august.
”Pentru a înţelege mai bine amploarea acestei vulnerabilităţi - utilizatorii potenţial afectaţi sunt miliarde, Chrome având peste două miliarde de utilizatori şi peste 65% din piaţa browserelor pe de o parte, iar unele dintre cele mai populare site-uri de pe web fiind vulnerabil la acest CVE pe de altă parte” spune Gal Weizman.
Cele mai cunoscute site-uri vulnerabile sunt Facebook, WellsFargo, Gmail , Zoom, TikTok, Instagram, WhatsApp, Investopedia, ESPN, Roblox, Indeed, Blogger, Quora.
”Pentru a exploata vulnerabilitatea, un atacator trebuie mai întâi să obţină acces la serverul web (prin atac prin forţă brută, asupra parolei, sau altă metodă), pentru a putea modifica codul JavaScript pe care îl foloseşte. Apoi, atacatorul ar putea adăuga o directivă frame-src sau child-src în JavaScript pentru a permite codului injectat să-l încarce şi să-l execute, ocolind aplicarea CSP şi astfel ocolind politica site-ului”, a explicat Weizman.
Bug-ul (CVE-2020-6519) se clasează ca o problemă de securitate de severitate medie (6,5 din 10 pe scara CvSS - Common Vulnerability Scoring System ). Cu toate acestea, deoarece afectează aplicarea CSP, aceasta are implicaţii vaste, a spus Weizman, comparând-o cu o maşină care are probleme cu centurile de siguranţă, airbag-urile şi senzorii de coliziune.
Vulnerabilitatea a fost prezentă în browserele Chrome cu mai mult de un an înainte de a fi remediată, aşa că Weizman a avertizat că implicaţiile complete ale bug-ului nu sunt încă cunoscute.
Utilizatorii ar trebui să îşi actualizeze browserele la cele mai recente versiuni pentru a evita să devină victima acestei vulnerabilităţi. Daca companiile au aplicaţii, Facebook spre exemplu, folosiţi-le, în loc de navigarea prin browser.
Găseşti aici articolul original al lui Gal Weizman de pe blogul PerimeterX.