Accueil > Nouvelles Cyber > Une faille CSRF dans le navigateur Yandex pourrait entraîner un vol de données personnelles
CYBER NOUVELLES

CSRF Flaw dans le navigateur Yandex pourrait mener au vol de données personnelles

par   |  Dernière mise à jour:  |  0 Commentaires  

malware-attaque-sensorstechforumDe nombreux services que nous utilisons sur une base quotidienne se révéler assez bogué. Cette fois, notre attention fut attirée par une vulnérabilité dans le navigateur Yandex, construit sur le chrome, qui aurait pu autoriser des attaquants afin de voler l'historique de navigation des utilisateurs, les mots de passe, signets. Plus particulièrement, la vulnérabilité en question est du cross-site demande Type de faux. La faille a été découverte par la Ziyahan Albeniz, un chercheur Nets Parker.

Tout d'abord, ce qui est exactement une requête cross-site faux (CSRF Flaw)?

demande Cross-site faux, également connu sous le nom d'un seul clic attaque ou d'une session circonscription, CSRF ou XSRF pour faire court, est un type de malveillant exploite un site Web où des commandes non autorisées sont transmises à partir d'un utilisateur que le site fiducies. Contrairement cross-site scripting (XSS), qui exploite la confiance d'un utilisateur pour un site particulier, CSRF exploite la confiance qu'un site a dans le navigateur d'un utilisateur. (Via Wikipedia)

Comment une attaque CSRF est effectuée

Peu dit, pour mener à bien une attaque réussie de ce type, l'acteur malveillant devra tromper l'utilisateur à visiter un site web compromis qui a forcé la transparence du navigateur Web de l'utilisateur d'effectuer des actions sur une page de confiance. Ceci est une page où l'utilisateur est actuellement authentifié à son insu.
Dans le cas du navigateur Yandex, cette question réside dans le formulaire de connexion du navigateur où l'utilisateur saisit une adresse e-mail et mot de passe pour un compte interne. Ceci est une caractéristique très similaire à la fonction de synchronisation des données de Chrome.

La vulnérabilité CSRF a été trouvé dans l'écran du navigateur Yandex de connexion qui est utilisé par les utilisateurs de se connecter à leur compte Yandex pour synchroniser leurs données de navigateur (tels que les mots de passe, signets, valeurs de formulaire, histoire) entre les différents dispositifs dont ils sont propriétaires, tels que les smartphones, tablettes et PC. Le navigateur Google Chrome a la même fonctionnalité.

Comment la faille CSRF peut être exploitée dans le navigateur Yandex?

Le chercheur explique que tout un attaquant aurait à faire est de forcer la victime à se connecter en utilisant ses propres informations d'identification. Voici comment l'acteur malveillant d'obtenir des informations personnelles enregistrées dans le navigateur, y compris l'histoire, les mots de passe, robinets et signets ouverts.

Trouver Qui est le plus Secure Browser pour 2016

Est-il difficile d'exploiter la faille CSRF? Pas du tout!

Le rapport de Albeniz indique que le bug est facile à exploiter. Tout un attaquant doit faire est de leurrer l'utilisateur en accédant à un site Web malveillant. Ce dernier contiendra le code qui a créé une synchronisation de données sous forme de connexion du navigateur Yandex et soumettre les données avec les informations d'identification du pirate. La vulnérabilité CSRF permettra ensuite ces données pour lancer une opération automatique de synchronisation. Le résultat final est une copie des données de l'utilisateur sont envoyées à l'attaquant. Cela va continuer à se produire à moins que l'utilisateur découvre et prend des mesures. En d'autres termes, en cas de non contre-mesure, informations comme nouvelles informations d'identification continuera d'être synchronisé à l'insu de l'utilisateur.

Yandex a été notifiée à la question et il a été fixé mai 2016. Cependant, le chercheur a partagé que la divulgation du bogue et de communiquer avec la société n'a pas un processus facile. Yandex ne l'a pas informé que la vulnérabilité a été fixé.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Facebook CSRF Bug mène au compte prises de contrôle avec un seul clic Would you believe it if we told you that clicking...
  2. CVE-2017-1000499 dans phpMyAdmin pourrait conduire à des attaques XSRF phpMyAdmin, one of the most widely used applications for managing...
  3. Comment faire pour supprimer les escroqueries de phishing 2021 Cet article a été créé dans le but de vous aider...
  4. Grave DLL Détournement dans Skype Flaw pas être corrigés par Microsoft En Janvier, 2018, Skype a été utilisé par environ...
  5. Supprimer le virus WininiCrypt – Restaurer .[cho.dambler@yandex.com] dossiers This article will help you to remove WininiCrypt ransomware fully....
  6. La Bible de sécurité Windows User: Vulnérabilités et correctifs Si vous faites partie de ces utilisateurs conscients qui se familiarisent...
  7. CVE-2019-12592: Web Clipper pour evernote Chrome Flaw Permet vol de données The Evernote Web Clipper For Chrome extension has been identified...
  8. CVE-2020-3992: Une faille critique de VMware pourrait conduire à l'exécution de code à distance CVE-2020-3992 is a VMware vulnerability in the ESXi hypervisor products....

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord