„Грешка озбиљности“ у екстензијама прегледача Граммарли доводи у опасност приватност корисника
Милиони граматике[1] Корисници провере правописа, граматике и језика који су инсталирали проширења за Цхроме или Фирефок могу бити у опасности. Откривена је „грешка озбиљности“ у апликацији за проверу граматике која омогућава крађу токена за аутентификацију веб локацијама. То значи да нападачи могу да добију приступ свим подацима које корисници учитају у апликацију.
Тавис Орманди, истраживач Гугловог пројекта нула[2] открио грешку у екстензији Гоогле Цхроме која има око 22 милиона корисника. Даља истрага је открила да исти проблем постоји у Фирефок верзији додатка.
Према неким изворима, проширење Граммарли Фирефок инсталирано је око 1.000.000 пута. У међувремену, за Цхроме проширење се каже да има више од 10.000.000 инсталација.[3] Стога, ако користите ову апликацију за проверу језика, боље је да се уверите да користите најновију верзију. Програмери су већ обезбедили закрпе за рањивост.[4]
Потребне су само четири линије кода да би се компромитовале информације корисника
Сама аутентификација је криптографски низ који поставља сервер и ради као колачић претраживача који се поставља чим се пријавите на веб локацију. Затим претраживач шаље назад информације серверу обавештавајући да сте ви ти који настављају да прегледате и користите сајт. Из тог разлога, не морате да се пријављујете сваки пут када кликнете на одређена дугмад или посетите нове странице на истој веб локацији.
Међутим, мана у Граммарлију омогућава нападачима да украду корисничке токене и приступе веб локацијама које се претварају да сте ви. Да би то урадили, нападачи морају да користе само четири реда кода било ручно или помоћу скрипте.
Овај код генерише токен који одговара Граммарли колачићу. Чим се корисник пријави на свој налог преко граммарли.цом, токен за аутентификацију могу да украду и користе треће стране. Као резултат тога, нападачи преваре сервер да сте ви тај који користите сајт и добијају приступ вашим информацијама:
[Свака] веб локација може се пријавити на граммарли.цом као ви и приступити свим вашим документима, историји, евиденцијама и свим другим подацима. Ово називам грешком велике тежине, јер изгледа као прилично озбиљно кршење очекивања корисника.
Имајте на уму да програм не само да прикупља различите информације о вама (надамо се да сте прочитали њихову политику приватности[5]), али можда сачувате копије ваших проверених чланака, докумената, писама и других текстова, а овде сте можда укључили неке занимљиве или осетљиве информације за нападаче.
22 милиона Граммарли корисника је упозорено да ажурирају екстензију
Граммарли је обавештен о проблему и брзо је представио ажурирање у Цхроме веб продавници. Стога, корисници морају да се увере да користе ажурирану верзију проширења Граммарли Цхроме (14.826.1446 или новију).
Програмери Мозилла Фирефок-а су такође закрпили ову безбедносну рањивост. Ипак, корисници би требало да добију аутоматско ажурирање; и даље се препоручује да проверите да ли користе верзију 8.804.1449 (или новију) верзију додатка да бисте избегли могуће цурење података.