Розширення веб-кліпера Evernote для Chrome є вразливим до критичного недоліку, який може розсекретити дані більш ніж 4,6 мільйона користувачів.

Про це повідомляє Threatpost.

Важливий недолік у популярному розширенні Evernote, що використовує нотатки, може дозволити зловмисникам вкрасти особисті дані – включаючи електронні листи та фінансові операції – мільйонів користувачів.

Особливо вплинуло на це розширення Evernote Web Clipper для браузера Chrome, яке дозволяє користувачам захоплювати повний текст статті, зображення, виділений текст, електронну пошту тощо. Розширення Evernote є надзвичайно популярним, що ставить під загрозу особисті дані понад 4,6 мільйона користувачів, вважають дослідники.

“Після успішної експлуатації візит до веб-сайту, керованого хакерами, поставить під загрозу особисті дані відвідувачів від пошкоджених веб-сайтів третьої сторони, – сказали в аналізі цього тижня дослідники з Гаурдіо. – У своєму прикладному матеріалі для доказу (PoC) компанія Guardio продемонструвала доступ до соціальних медіа (читання та розміщення вмісту), історії фінансових транзакцій, приватних списків покупок і багато іншого.”

Дослідники розкрили недолік Evernote 27 травня. Виправлення було підтверджено 4 червня. Користувачам Evernote рекомендується оновити до версії 7.11.1 або пізнішої версії. Evernote не відразу відповіли на запит на коментар від Threatpost.

Щоб увімкнути функціональні можливості розширення Evernote (наприклад, підсвічування або знімок екрана вмісту веб-сайтів), файл з JavaScript взаємодіє з веб-сторінками, які використовують розширення.

Однак помилка логічного кодування (CVE-2019-12592) залишила незахищеною функцію, яка використовується для передачі URL-адреси від сайту до простору імен розширення. Це означає, що зловмисники можуть ввести власний скрипт на веб-сторінку – надаючи їм доступ до конфіденційної інформації користувача.

“Експлойт ініціюється зловмисним веб-сайтом і змушує внутрішню інфраструктуру Evernote вводити контрольовані зловмисниками навантаження в усі контексти фреймів”, – сказали дослідники.

У доказовому матеріалі на відео (нижче), дослідники показали, як зловмисник може скористатися недоліком.

Спочатку необхідно переконати користувача перейти на зловмисний веб-сайт, можливо, з електронної пошти або посилання на соціальні медіа. Цей зловмисний веб-сайт тихо завантажує приховані, легітимні теги iframe цільових веб-сайтів. Тег iframe – це документ HTML, вбудований в інший документ HTML на веб-сайті.

Ці теги iframe вводять корисну навантаження для кожного націленого веб-сайту, який може викрадати файли cookie, облікові дані, приватну інформацію, виконувати дії як користувача та багато іншого, повідомляють дослідники.

Протягом багатьох років компанія Evernote зіштовхнулася з подібними випадками, заявивши, що в 2013 році зловмисники скомпрометували інформацію про користувачів, наприклад, адреси електронної пошти та хешовані паролі. А в 2014 році Evernote стала жертвою DDoS-атаки, яка припинила роботу служби протягом декількох годин.

Нагадаємо, працівники кіберполіції викрили двох 33-річних чоловіків, причетних до викрадення майже 420 тисяч гривень з рахунку одного з мешканці Київщини. Знаючи про вразливості онлайн-ресурсу потерпілого, зловмисник використав їх для викрадення коштів.

Також у Google Maps виявили корисну функцію – стежити за тим, щоб Ваше таксі або громадський транспорт дотримувалися прокладеного маршруту. Функція оповіщення про відхилення від заданого маршруту буде попереджати користувача в той момент, коли транспорт відхилиться від курсу на 500 метрів.

Окрім цього, хакерські угрупування активно атакують поштові сервери з встановленим агентом Exim з метою експлуатації нещодавно уразливості, виявленої у програмному забезпеченні.

Автор: Максим Побокін