CSRF Fejl i Yandex Browser kan føre til persondataloven Tyveri
CYBER NEWS

CSRF Fejl i Yandex Browser kan føre til persondataloven Tyveri

1 Star2 Stars3 Stars4 Stars5 Stars (Ingen stemmer endnu)
Loading ...

malware-angreb-sensorstechforumMange tjenester, vi bruger på daglig basis vise sig at være ganske buggy. Denne gang vores opmærksomhed blev fanget af en sårbarhed i Yandex Browser, bygget på Chromium, som kunne have tilladt angribere at stjæle brugernes browserhistorik, adgangskoder, bogmærker. Mere specielt, sårbarheden pågældende er af den cross-site anmodning forfalskning typen. Fejlen blev opdaget af til Ziyahan Albeniz, Nets Parker en forsker.


Først og fremmest, hvad der præcist er en cross-site anmodning forfalskning (CSRF Fejl)?

Cross-site anmodning forfalskning, også kendt som et enkelt klik angreb eller session ridning, CSRF or XSRF for short, er en form for ondsindet udnytte af en hjemmeside, hvor uautoriserede kommandoer sendes fra en bruger, at hjemmesiden har tillid. Modsætning cross-site scripting (XSS), der udnytter den tillid en bruger har til et bestemt websted, CSRF udnytter den tillid, som et websted har i en brugers browser. (via Wikipedia)

Hvordan en CSRF angreb udføres

Kort sagt, at udføre et vellykket angreb af denne type, den ondsindede skuespiller bliver nødt til at narre brugeren til at besøge en kompromitteret hjemmeside, der gennemskueligt tvang brugerens web-browser til at udføre handlinger på en trust side. Dette er en side, hvor brugeren er i øjeblikket godkendt uden hans viden.
I tilfældet med den Yandex browser, dette spørgsmål er bosat i browserens login formular, hvor brugeren indtaster en email-adresse og adgangskode for en intern konto. Dette er en funktion meget lig Chromes datasynkronisering funktion.

Den CSRF sårbarhed blev fundet i login skærmen på Yandex Browser, der bruges af brugere til at logge ind på deres Yandex konto til at synkronisere deres browser-data (såsom adgangskoder, bogmærker, formularværdier, historie) mellem forskellige enheder de ejer, såsom smartphones, tabletter og pc'er. Google Chrome-browseren har samme funktion.


Hvordan kan CSRF fejl udnyttes i Yandex Browser?

Forskeren forklarer, at alle en hacker ville skal gøre er at tvinge offeret til at logge ind med sine egne legitimationsoplysninger. Dette er, hvordan den ondsindede skuespiller ville få personlige oplysninger gemt i browseren, herunder historie, adgangskoder, åbnede haner og bogmærker.

Finde ud af Hvilket er den mest sikre browser til 2016

Er det vanskeligt at udnytte CSRF fejl? Slet ikke!

Albeniz rapport indikerer, at fejlen er let at udnytte. Alt en hacker har at gøre, er at lokke brugeren til at få adgang til et ondsindet websted. Sidstnævnte vil indeholde kode, der skabte en Yandex Browser data sync login-formular og indsende data med hacker legitimationsoplysninger. Den CSRF sårbarhed vil så tillade disse data til at starte en automatisk synkronisering operation. Slutresultatet er en kopi af brugerens data bliver sendt til hackerens. Dette vil holde på forekommende medmindre brugeren finder ud af om det og tager handling. Med andre ord, i tilfælde af ingen tæller foranstaltning, oplysninger som nye legitimationsoplysninger vil fortsat blive synkroniseret uden brugerens viden.

Yandex blev anmeldt om problemet, og det blev rettet i maj 2016. Men, forskeren delte at afsløre fejlen og kommunikere med selskabet var ikke en nem proces. Yandex ikke har informeret ham om, at sårbarheden blev fastsat.

Avatar

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum for 4 år. Nyder ’Mr. Robot’og frygt’1984’. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...