Az összes jelszó ellopható ezzel a módszerrel, komoly veszély leselkedik a Chrome böngésző felhasználóira
Egy, a jelek szerint még kihasználatlan, de annál veszélyesebb támadási módszert fedeztek fel a világ legnépszerűbb böngészőjében.
HVG
Újfajta támadási módszer veszélyére figyelmeztetnek a Chrome böngészőben. A SquareX Labs szakemberei felfedezték: a böngészőben lehetőség van a bővítmények „átalakítására”, azaz a letöltött bővítmények a felhasználó tudta nélkül alakulhatnak át hamis jelszókezelő, kriptopénztárca vagy banki kiegészítőkké, így megszerezve a felhasználók érzékeny adatait.
A jó hír, hogy ez a jelek szerint egy, még nem kihasznált támadási mód, a SquareX Labs szakemberei csak arra próbálják felhívni a figyelmet, hogy a lehetőség – mint felfedezték – adott. Akár a Chrome legfrissebb verziójában is, részletezi a Bleeping Computer.
Mint a kutatók például hozzák, a támadók létrehozhatnának egy MI-alapú funkciókat kínáló bővítményt, ami telepítést követően hozná is azt, amit ígér. A háttérben azonban megindulhatna a rosszindulatú tevékenység: hozzáférhet a böngészőben telepített további bővítményekhez (a chrome.management alkalmazásprogramozási interfész / API) segítségével, már amennyiben a telepítés közben engedélyt kap erre. De akkor sincs gond, ha ezt nem kapja meg; más módszerekkel is le tudná kérni a többi bővítmény listáját.
Ezt aztán visszaküldhetné a támadó szerverére, és ha van a listán olyan bővítmény, amivel vissza lehet élni, akkor a támadók átalakíthatják. Egy egyszerű példával élve: ha mondjuk a felhasználónál telepítve van a 1Password nevű jelszókezelő, és ezt a bővítmény észleli, a rosszindulatú fél el tudja érni, hogy az eredetileg MI-funkciókat ígérő kiegészítő egy csapásra átalakuljon a 1Password bővítményévé.
Disclosed by SquareX, polymorphic extensions can mimic any other browser extension, perfectly replicating their icons and popup interfaces. Victims, believing they are interacting with the real extension, are tricked into entering their password manager or crypto wallet credentials. With additional permissions, these malicious extensions can even disable the legitimate one entirely.
Ez persze csak egy álca a felhasználó becsapására. A SquareX Labs azt is bemutatta, hogy a támadó a valódi 1Password bővítményt ki is tudja kapcsolni. Eközben helyébe lép a csalárd változat, és ebből a felhasználó szinte semmit nem észlel – csak azt, hogy (a látszólag) 1Password bővítmény újbóli bejelentkezést kér.
Ez a támadás legfontosabb része: a gyanútlan felhasználó beírja a 1Password-fiókjának belépési adatait, ám ezek valójában rögtön a támadók markában landolnak. Így meg is szerezték a hozzáférést a szolgáltatáshoz, és az abban tárolt összes jelszóhoz.
Amint ez megvan, a kártékony bővítmény leveti az álcáját, és ismét az eredeti funkciókat kínálja. Még a valódi 1Password bővítményt is újból aktiválja.
Biztonsági veszély miatt azonnal meg kell szabadulni 16 bővítménytől, mert félő, hogy csaláshoz vezet a használatuk.
Fontos, hogy a fenti példa pusztán elméleti, és (jelen ismeretek szerint) nincs olyan kártevő, ami visszaélne ezzel a támadási móddal a Chrome böngészőben. Azt azonban jól szemlélteti a dolog, hogy érdemes folyamatosan keresni a szoftverek gyenge pontjait – ahogyan tették azt jelen esetben a SquareX kutatói is. Természetesen megállapításaikat közölték a Google-lel is, de a techóriás egyelőre nem reagált a Bleeping Computer ezzel kapcsolatos megkeresésére.
David Zucker, a Naked Gun rendezője biztosan nem nézi meg a Liam Neesonnal készült negyedik részt, mert az szerinte ötlettelen másolat lesz csupán. A ZAZ-trió egyharmadával Leslie Nielsen fingógépéről, a pilótás pedofilpoénokról, a Top Secret bukásáról és O.J. Simpsonról is beszélgettünk. És persze a Csupasz pisztoly 4-ről, amiből kihagyták.
Nem világos, hogy a leginkább szablyacsörgetésnek tekinthető kereskedelmi háború átmegy egy langymeleg állapotba, vagy augusztus elsején totális káosz lesz a vége.
Vajon eljön az idő, amikor a boltok nekünk fizetnek majd azért, hogy náluk vásároljunk? Nem tudni, de tény, történelem során volt néhány furcsa példa arra, mi miért került kevesebbe és ennek mi lett a következménye. Elek Péter hozott is párat a Duma Aktuál közönségének.