Veel diensten die we gebruiken op een dagelijkse basis blijken te zijn nogal buggy. Deze keer onze aandacht werd gevangen door een kwetsbaarheid in de Yandex Browser, gebouwd op Chromium, die zouden hebben toegestaan aanvallers gebruikers surfgeschiedenis te stelen, wachtwoorden, bladwijzers. Meer in het bijzonder, de kwetsbaarheid betreft van de cross-site request vervalsing Type. De fout werd ontdekt door naar Ziyahan Albeniz, a Netsparker researcher.
Allereerst, wat is een cross-site request vervalsing (CSRF Flaw)?
Cross-site request vervalsing, ook wel bekend als één-klik aanval of sessie rijden, CSRF of XSRF voor kort, is een variant van kwaadaardige exploiteren van een website waar ongeautoriseerde commando's van een gebruiker worden doorgegeven dat de website trusts. In tegenstelling tot cross-site scripting (XSS), die het vertrouwen een gebruiker exploiteert voor een bepaalde site, CSRF exploiteert het vertrouwen dat een site heeft in de browser van een gebruiker. (Via Wikipedia)
Hoe een CSRF aanval wordt uitgevoerd
Kort gezegd, het uitvoeren van een succesvolle aanval van dat type, de kwaadaardige acteur zal hebben om de gebruiker te verleiden tot een bezoek aan een gecompromitteerde website die op transparante wijze de webbrowser van de gebruiker gedwongen om acties uit te voeren op een trust pagina. Dit is een pagina waar de gebruiker op dat moment zonder zijn medeweten is geverifieerd.
In het geval van de Yandex browser, Dit probleem ligt in de browser login formulier waar de gebruiker een e-mailadres en wachtwoord invoert voor een interne rekening. Dit is een functie vergelijkbaar met Chrome data synchronisatie functie.
De CSRF kwetsbaarheid werd gevonden in het inlogscherm van de Yandex Browser die wordt gebruikt door gebruikers aan te melden bij hun Yandex rekening naar hun browser gegevens te synchroniseren (zoals wachtwoorden, bladwijzers, formulierwaarden, geschiedenis) tussen verschillende apparaten zij bezitten, zoals smartphones, tabletten en pc. De Google Chrome-browser beschikt over dezelfde functies.
Hoe kan de CSRF fout worden benut in de Yandex Browser?
De onderzoeker legt uit dat alles een aanvaller zou moeten doen is het dwingen van het slachtoffer om in te loggen met behulp van zijn eigen geloofsbrieven. Dit is hoe de kwaadaardige acteur persoonlijke gegevens opgeslagen in de browser zou verkrijgen, waaronder geschiedenis, wachtwoorden, geopend kranen en bladwijzers.
Is het moeilijk om het CSRF fout exploiteren? Helemaal niet!
verslag Albeniz geeft aan dat de bug is gemakkelijk te exploiteren. Al een aanvaller hoeft te doen is lokken de gebruiker in het openen van een kwaadaardige website. De laatste zal code die een Yandex Browser data synchronisatie login formulier gecreëerd bevatten en de gegevens in te dienen met de geloofsbrieven van de hacker. De CSRF kwetsbaarheid zal dan kunt deze gegevens om een automatische synchronisatie te starten. Het eindresultaat is een kopie van de gegevens van de gebruiker worden verzonden naar de aanvaller. Dit zal op die zich te houden, tenzij de gebruiker te weten komt over en neemt actie. Met andere woorden, Indien geen tegenmaatregel, informatie, zoals nieuwe referenties zullen blijven worden gesynchroniseerd, zonder medeweten van de gebruiker.
Yandex in kennis is gesteld over de kwestie en het werd vastgesteld mei 2016. Echter, de onderzoeker deelde dat het vrijgeven van de bug en de communicatie met het bedrijf was geen gemakkelijk proces. Yandex hem niet op de hoogte dat de kwetsbaarheid werd vastgesteld.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: