Спецпроекты

Безопасность Пользователю Техника

Критический баг в Evernote поставил под удар миллионы пользователей

XSS-уязвимость в браузерном расширении Evernote поставила под угрозу пользовательские данные. Реальной утечки, по-видимому, не произошло: разработчики Evernote оперативно исправили проблему.

Дыра в Evernote Web Clipper

Довольно банальная уязвимость в фирменном браузерном расширении популярного бизнес-приложения Evernote поставила под угрозу данные всех его пользователей. Приблизительная пользовательская база расширения Evernote Web Clipper для Chrome составляет 4600000 аккаунтов.

По данным компании Guardio, эксперты которой обнаружили баг, речь идёт об уязвимости класса Universal Cross-Site Scripting (универсальный межсайтовый скриптинг). Ошибка в коде Evernote Web Clipper позволяет обойти правила ограничения домена в браузере (Same Origin Policy), что обеспечивает злоумышленнику «привилегии на исполнение кода в iFrame вне пределов домена Evernote».

На практике это означает, что данные пользователей Evernote могут быть раскрыты на других сайтах. То есть злоумышленнику необходимо будет заманить потенциальную жертву на сайт под своим контролем - со скрытыми iframe, в которые загружаются целевые сторонние сайты. Затем, с помощью эксплойта можно заставить Evernote внедрить вредоносный компонент во все загруженные iframe, и с его помощью можно выкрасть файлы cookie, реквизиты доступа к другим ресурсам и прочую конфиденциальную информацию, а также выполнить какие-либо действия от лица пользователя.

Ролик показывает возможность получать доступ к аккаунтам в социальных сетях, финансовым данным и сведениях о покупках, а также читать приватные сообщения и электронную почту любого пользователя уязвимого расширения Chrome.

На этот раз пронесло

«Evernote - очень популярный инструмент, так что успешная эксплуатация этой уязвимости могла создать массивные проблемы для пользователей данного расширения, - полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Этого, к счастью, не произошло, однако сама ситуация - повод для разработчиков популярных браузерных расширений провести дополнительный аудит безопасности своих продуктов. Слишком высоким может быть риск от банальной ошибки в коде».

Проблема была выявлена в конце мая 2019 г. Разработчикам Evernote понадобилось менее недели для того, чтобы выкатить исправление, обновив версию расширения до индекса 7.11.1.

Роман Георгиев

Короткая ссылка