V prohlížeči Chrome byla odhalena zranitelnost, která umožňuje rozšířením získávat citlivá data z adresního řádku, jako autorizační tokeny. Ohrožuje e-maily, sociální sítě a finanční účty.
© RusPhotoBank
V prohlížeči Google Chrome byla odhalena závažná bezpečnostní díra, která umožňuje rozšířením přímo získávat citlivá uživatelská data z adresního řádku. Ohroženy jsou tak autorizační tokeny, odkazy pro obnovení hesla, klíče API a další tajné informace, které služby často přenášejí v URL za symbolem „?“. Na problém upozornil kyberbezpečnostní expert Luan Herrera. Podle něj útok nevyžaduje zvýšená oprávnění ani podezřelá povolení – stačí přístup ke standardnímu rozhraní declarativeNetRequest API. Právě tento mechanismus využívá většina blokátorů reklam a sledovacích prvků.
Jádro zranitelnosti spočívá v načasování zpracování požadavků. Chrome totiž požadavky blokované přes toto API zvládá výrazně rychleji než běžné, přičemž rozdíl může dosahovat i desítek milisekund. Díky této časové mezeře může škodlivé rozšíření analyzovat chování prohlížeče a postupně rekonstruovat celou adresu stránky včetně skrytých parametrů s citlivými údaji. V praxi tak útočník dokáže „uhodnout“ adresu znak po znaku opakovaným načítáním stránky a měřením odezvy. Uživatelé pak mohou přijít o přístup k e-mailu, sociálním sítím, finančním službám a dalším klíčovým účtům, aniž by o tom vůbec věděli.
Ukázkový exploit se osvědčil ve všech aktuálních verzích Chrome, od stabilní verze přes vývojářské a kanárkové sestavy. Společnost Google problém uznala, ale uvedla, že jeho oprava v rámci současné architektury prohlížeče je prakticky nemožná.