一个CSRF(跨站请求伪造)漏洞存在于Yandex浏览器中,允许黑客触发浏览器的同步功能,并让其发送用户的浏览数据至错误的账户上,进而达到窃取用户数据的目的。
Yandex是来自俄罗斯搜索巨头的一款浏览器,具有超强的数据压缩能力,能实现页面的快速加载。
如果这个漏洞被黑客加以利用,用户的账号密码、浏览历史记录、网页收藏和自动填充信息等,这些数据同步中会涉及到的数据,都有可能被黑客窃取。
漏洞影响Yandex浏览器数据同步功能
这个漏洞存在于Yandex浏览器登录程序中,在登录界面,用户会输入他们登录浏览器的电子邮箱账户和密码。这个功能类似于chrome浏览器的数据同步。
该漏洞的发现者Ziyahan Albeniz,是著名的Web应用漏洞扫描工具Netsparker的研究员。当被问及该漏洞是否会影响到chrome浏览器的数据同步功能时,他表示,一般来说,这种情况不会发生,虽然实现的是类似的功能,但chrome浏览器用于登录验证的程序架构跟Yandex的并不一样。
“如果对chrome浏览器的同步功能,运行PoC(观点验证程序)来测试看看是否存在相同漏洞,暂时未发现有存在该漏洞的风险。”研究员Albeniz还表示,“我几乎对所有主流浏览器进行了CSRF漏洞的测试,包括chrome浏览器和火狐浏览器。当然,也许我的测试存在疏忽的地方,所以并不意味着别的浏览器一定不会存在该漏洞”。
漏洞很容易通过恶意网页被滥用
Albeniz的研究报告还指出,该漏洞的使用手段极其简单,只需让用户点击进入某个预先设置好的恶意网页,就可以触发漏洞。而这个网页需要包含一个用于创建Yandex浏览器数据同步功能的登录入口,以及提交的数据时经由黑客的证书。
这个CSRF漏洞会允许上述信息保持在线查看状态的同时,开启一个数据自动同步功能,并将数据备份并发送给黑客一份。需要注意的是,除非被攻击用户发现了漏洞,并加以处理,否则浏览器的数据同步功能,会持续将信息传输到黑客的账户之上。
研究人员早在2015年的12月17日,就向Yandex方面披露过相关漏洞问题。然而Yandex公司对该漏洞的处理过程却是一波三折,直到今年五月份,漏洞的修复才算完成。
谨慎使用浏览器数据同步功能
Yandex浏览器漏洞的发现者也表示,虽然目前尚未发现,但不排除别的浏览器上也存在类似的漏洞,为了尽量避免黑客利用类似漏洞窃取用户重要隐私,用户应当谨慎使用浏览器数据同步功能。
(1)定期清理浏览历史记录;
(2)合理使用隐私浏览(无痕)模式;
(3)尽量避免使用浏览器密码自动填充,可使用密码管理器。
用户的网页浏览历史一旦泄漏,会让入侵者,有通过社工手段对用户进行二次攻击或诈骗的可能,同时,重要的账号密码使用浏览器的自动填充,也不利于账号安全,因此挑选一款合适的密码管理器不失为一种更安全的选择。目前国外比较知名的密码管理软件,有1password、Lastpass、keepass等,而国内也有洋葱这样免费的密码管理软件。
参考链接:softpedia
网友评论