Theo hãng bảo mật, do sự phổ biến rộng rãi của Evernote, lỗ hổng này có thể ảnh hưởng đến hàng triệu người dùng và các công ty đang sử dụng tiện ích mở rộng. Tại thời điểm hiện tại có khoảng 4.600.000 người dùng đang sử dụng tiện ích.
Lỗ hổng Universal Cross-site Scripting
Lỗ hổng bảo mật có tên Universal Cross-site Scripting (UXSS) (hay còn gọi là Universal XSS), được đánh dấu là CVE-2019-12592, có nguồn gốc từ lỗi mã hóa logic Evernote Web Clipper làm cho nó có thể "bỏ qua chính sách ban đầu của trình duyệt, cấp đặc quyền thực thi mã từ xa trong Iframes ngoài miền của Evernote".
Sau khi tính năng bảo mật cách ly trang web của Chrome bị lỗi, dữ liệu người dùng từ các tài khoản trên các trang web không còn được bảo vệ, điều này cho phép kẻ xấu có thể truy cập các thông tin, dữ liệu nhạy cảm của người dùng bao gồm các thông tin thẻ ngân hàng, các cuộc trò chuyện riêng tư trên các mạng xã hội, email cá nhân, ... từ các trang web của bên thứ 3.
Kẻ tấn công thực hiện điều này bằng cách chuyển hướng các mục tiêu đến các trang web mà họ kiểm soát, sau đó tải các iframe ẩn với các trang web của bên thứ 3 được nhắm mục tiêu và kích hoạt cuộc khai thác được thiết kế để buộc Evernote tiêm nhiễm payload vào tất cả các iframe được tải, payload sẽ "đánh cắp cookies, thông tin cá nhân, thông tin đăng nhập, đăng ký Evernote, thực hiện các hành động như người dùng, ...".
Guardio cũng cung cấp Proof-of-Concept (PoC) cho lỗ hổng CVE-2019-12592 , minh họa cách lỗ hổng trong tiện ích mở rộng Evernote Web Clipper cho phép kẻ tấn công truy cập các mạng xã hội và các thông tin thẻ tín dụng, ngân hàng , các cuộc trò chuyện riêng tư, dữ liệu mua sắm, dữ liệu xác thực và email người dùng.
Lỗ hổng UXSS trong Evernote Web Clipper đã được vá
Evernote đã phát hành bản vá lỗ hổng ngay sau khi nhận được báo cáo của Guardio. Bản vá đầy đủ bao gồm các chức năng được phát hành vào hôm 4/6 vừa qua.
Người dùng được khuyến cáo cài đặt bản vá tiện ích mở rộng Web Clipper càng sớm càng tốt. Truy cập trang chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc và kiểm tra xem bạn đã cài đặt phiên bản 7.11.1 hay chưa .
Nhà nghiên cứu bảo mật Michael Vainshtein của Guardio CTO cho biết lỗ hổng mà công ty phát hiện là minh chứng quan trọng trong việc nhắc nhở người dùng phải cân nhắc và xem xét kỹ lưỡng các tiện ích mở rộng trình duyệt. Ngay cả các tiện ích mở rộng đáng tin cậy nhất cũng có thể chứa các lỗ hổng, cơ hội cho kẻ tấn công.
Vào năm 2017, Evernote đã thay đổi chính sách quyền riêng tư, cho phép các nhân viên của hãng đọc các nội dung ghi chú của khách hàng chưa được mã hóa, tuy nhiên chính sách này vấp phải phản ứng dữ dội từ phía người dùng.
Mới đây, cụ thể là vào giữa tháng 4, công ty đã vá lỗ hổng Path Traversal, cho phép kẻ tấn công chạy các ứng dụn, file được lưu trữ cục bộ trên máy Mac mục tiêu.
Đừng quên truy cập Taimienphi.vn để cập nhật các tin công nghệ mới nhất nhé. Mới đây, người dùng iOS đã có thể sử dụng điện thoại Android làm khóa bảo mật cho ứng dụng iOS là thông tin mobile nổi bật trong ngày vừa qua.