Spook.js:可绕过Google严苛网站隔离安全功能获取密码等数据

为了应对Spectre漏洞,Google推出了名为“StrictSiteIsolation”(严苛网站隔离)的安全功能,主要是防止未经授权的数据被盗。不过近日一支由多所国际大学组成的团队发现了 Spook.js,这种恶意的JavaScript代码可以绕过Google的这项安全功能从

NetSmell 出品

  为了应对 Spectre 漏洞,Google 推出了名为“Strict Site Isolation”(严苛网站隔离)的安全功能,主要是防止未经授权的数据被盗。不过近日一支由多所国际大学组成的团队发现了 Spook.js,这种恶意的 JavaScript 代码可以绕过 Google 的这项安全功能从其他标签中获取密码等敏感数据。

  目前,安全专家已经证实 Intel 处理器和苹果 M1 芯片受到影响,但 AMD 芯片也被认为存在风险,但是目前并没有得到充分证明。

  该团队由乔治亚理工学院、阿德莱德大学、密歇根大学和特拉维夫大学的研究人员组成。他们说,“尽管 Google 试图通过部署严格的网站隔离来缓解 Spectre,但在某些情况下,通过恶意的 JavaScript 代码提取信息仍然是可能的”。

  研究人员继续说:“更具体地说,我们表明,攻击者控制的网页可以知道用户当前正在浏览同一网站的哪些其他页面,从这些页面中获取敏感信息,甚至在自动填充时恢复登录凭证(例如,用户名和密码)。我们进一步证明,如果用户安装了一个恶意扩展,攻击者可以从 Chrome 扩展(如凭证管理器)中检索数据”。

  安全研究人员分享了几段视频,展示了 Spook.js 的行动。在第一段视频中,该攻击被用来从 Chrome 浏览器的内置凭证管理器中获取 Tumblr 博客的密码。

  视频1:https://www.bilibili.com/video/BV16U4y1P7Lw?zw  

  在第二个视频中,一个恶意的浏览器扩展被用来从 LastPass 盗取主密码。

  视频2:https://www.bilibili.com/video/BV18A411F7DT?zw

显示余下内容
相关文章:
  1. Google地图获得了扩展后的交通拥挤度预测功能
  2. 8295万元 贾跃亭兄弟所持4410万股乐视网股票被拍下
  3. Edge 93迎来实验性功能 以及迎合Windows 11的视觉刷新
  4. IBM一项安全研究显示数据泄露事件平均消耗成本超过420万美元
  5. 体重18公斤北航新生报到!高考645分,立志改变世界“做中国的霍金”
  6. 代码托管平台GitLab提交IPO申请 年化营收已超2亿美元
  7. 1药网发布Q2财报:营收30.24亿元,同比增长87%
  8. 五位院士为获奖者颁奖 阿里全球数学竞赛揭幕
  9. 毅力号“采了个寂寞”,火星采样难在哪?
  10. Linux基金会发布2021开源工作报告:云容器市场需求最高
 

发表评论

您的电子邮箱地址不会被公开。