Изследователи в областта на киберсигурността разкриха вече поправен недостатък в сигурността на уеб браузъра Opera за Microsoft Windows и Apple macOS, който може да бъде използван за изпълнение на всеки файл в основната операционна система.
Уязвимостта за отдалечено изпълнение на код е получила кодовото име MyFlaw от изследователския екип на Guardio Labs поради факта, че се възползва от функция, наречена My Flow, която дава възможност за синхронизиране на съобщения и файлове между мобилни и настолни устройства.
„Това се постига чрез контролирано разширение на браузъра, което ефективно заобикаля сенд бокса на браузъра и целия процес на работа с него“, се казва в изявление на компанията, споделено с The Hacker News.
Проблемът засяга както браузъра Opera, така и Opera GX. След отговорното му разкриване на 17 ноември 2023 г. той беше отстранен като част от актуализациите, доставени на 22 ноември 2023 г.
My Flow разполага с подобен на чат интерфейс за обмен на бележки и файлове, като последните могат да бъдат отворени чрез уеб интерфейс, което означава, че даден файл може да бъде изпълнен извън границите на сигурността на браузъра.
Тя е предварително инсталирана в браузъра и е улеснена с помощта на вградено (или вътрешно) разширение на браузъра, наречено „Opera Touch Background“, което отговаря за комуникацията с мобилния си аналог.
Това също така означава, че разширението се доставя със собствен манифестен файл, определящ всички необходими разрешения и поведението му, включително свойство, известно като externally_connectable, което декларира кои други уебстраници и разширения могат да се свързват с него.
В случая на Opera домейните, които могат да комуникират с разширението, трябва да отговарят на шаблоните „*.flow.opera.com“ и „.flow.op-test.net“ – и двата контролирани от самия производител на браузъра.
„По този начин API за съобщения се разкрива на всяка страница, която отговаря на посочените от вас шаблони за URL“, отбелязва Google в своята документация. „Шаблонът за URL трябва да съдържа поне домейн от второ ниво.“
Guardio Labs заяви, че е успяла да открие „отдавна забравена“ версия на целевата страница на My Flow, разположена на домейна „web.flow.opera.com“, като е използвала инструмента за сканиране на уебсайтове urlscan.io.
„Самата страница изглежда съвсем по същия начин като текущата в производството, но промените се крият под капака: В нея не само липсва мета тагът [политика за сигурност на съдържанието], но и се съдържа таг за скрипт, който призовава за JavaScript файл без никаква проверка на целостта“, заявиха от компанията.
„Това е точно това, от което се нуждае един нападател – опасен, забравен, уязвим за инжектиране на код актив, и най-важното, има достъп до (много) високо разрешение на native API на браузъра.“
След това веригата на атаката се окачва, създавайки специално създадено разширение, което се маскира като мобилно устройство, за да се свърже с компютъра на жертвата и да предаде криптиран злонамерен полезен товар чрез модифицирания JavaScript файл към хоста за последващо изпълнение, като подкани потребителя да кликне където и да е на екрана.
Констатациите подчертават нарастващата сложност на браузърните атаки и различните вектори, които могат да бъдат използвани от заплахите в тяхна полза.
„Въпреки че работят в среда със sandbox, разширенията могат да бъдат мощни инструменти за хакерите, които им позволяват да крадат информация и да нарушават границите на сигурността на браузъра“, заявиха от компанията пред The Hacker News.
„Това подчертава необходимостта от вътрешни промени в дизайна на Opera и подобрения в инфраструктурата на Chromium. Например деактивирането на разрешенията за разширения от трети страни на специални производствени домейни, подобно на уеб магазина на Chrome, е препоръчително, но все още не е въведено от Opera.“
Когато беше потърсена за коментар, Opera заяви, че е действала бързо, за да затвори дупката в сигурността и да приложи поправка от страна на сървъра, и че предприема стъпки, за да предотврати повторното възникване на подобни проблеми.
„Настоящата ни структура използва стандарта HTML и е най-сигурният вариант, който не нарушава ключови функционалности“, заявиха от компанията. „След като Guardio ни предупреди за тази уязвимост, ние отстранихме причината за тези проблеми и уверяваме, че подобни проблеми няма да се появяват в бъдеще.“
„Бихме искали да благодарим на Guardio Labs за работата им по разкриването и незабавното ни предупреждаване за тази уязвимост. Това сътрудничество показва как работим заедно с експерти по сигурността и изследователи от цял свят, за да допълним собствените си усилия за поддържане и подобряване на сигурността на нашите продукти и за осигуряване на безопасно онлайн изживяване на нашите потребители.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.