Evernote, l’estensione di Chrome ha esposto gli utenti ad attacchi hacker

Evernote, l’estensione di Chrome ha esposto gli utenti ad attacchi hacker
14 June 2019 – 12:08

Phil Libin, ceo di Evernote (foto: Haruyoshi Yamaguchi/Bloomberg via Getty Images)I ricercatori di cybersicurezza hanno scoperto un bug critico nell’estensione della popolare app Evernote di Google Chrome, che avrebbe potuto consentire agli hacker di effettuare un dirottamento del browser al fine di sottrarre informazioni sensibili da qualunque sito web si accedesse.
Evernote Web Clipper è una delle estensioni più utilizzate del browser di Big G, e permette agli utenti di prendere appunti e organizzare i loro elenchi di attività in modo comodo: con Evernote si possono salvare pagine web (o porzioni di esse), modificarle e organizzarle in pratici archivi.
Attualmente l’estensione del browser conta oltre i 4,6 milioni di utenti.
Scoperta dagli esperti di Guardio, che si occupa di crimini informatici, la vulnerabilità (denominata Cve-2019-12592) risiedeva nelle modalità in cui l’estensione interagiva coi siti web. L’estensione era in grado di isolare e iniettare gli script rompendo i meccanismi di same-origin policy del browser e di isolamento del dominio.
Secondo i ricercatori, la vulnerabilità avrebbe potuto consentire a un sito controllato da pirati informatici di caricare uno script remoto controllato da un hacker su altri siti web tramite un semplice comando window.postMessage.
“Abusando dell’infrastruttura di iniezione prevista da Evernote, lo script dannoso verrà iniettato in tutti i frame di destinazione della pagina, indipendentemente dai vincoli di origine incrociata”, spiegano i ricercatori di Guardio.
La vulnerabilità agiva quindi bypassando i meccanismi di sicurezza imposti dal browser.

Per dimostrare la presenza della vulnerabilità e i potenziali rischi, i ricercatori hanno simulato il rilascio di un payload personalizzato su siti web mirati con lo scopo di rubare i cookie, le credenziali e altre informazioni private di un utente ignaro. La medesima azione avrebbe potuto essere effettuata da degli attori malevoli con fini meno etici.
La vulnerabilità è stata segnalata a Evernote che ha prontamente rilasciato una patch per risolvere il problema.
Google Chrome di norma verifica ogni 5 ore la presenza di aggiornamenti per le estensioni installandoli in automatico, ma per gli utenti che adoperano Evernote è consigliato verificare che quella in esecuzione sia la versione 7.11.1 o una successiva. In caso contrario, è necessario un urgente aggiornamento.
The post Evernote, l’estensione di Chrome ha esposto gli utenti ad attacchi hacker appeared first on Wired.

Fonte: Wired

Utilizzando il sito, accetti l'utilizzo dei cookie da parte di BestAll. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi