นักวิจัยสาธิตช่องโหว่บน Extension ของ Evernote ช่วยขโมยข้อมูลได้

Guardio ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ Browser ได้สาธิต คลิปวีดีโอวิธีการใช้งานช่องโหว่ XSS ที่เกิดกับ Extension ของ Evernote ที่ทำให้สามารถ Bypass Same-origin policy (SOP) เพื่อเข้าไปขโมยข้อมูลของผู้ใช้งานได้ เช่น Facebook และ PayPal เป้นต้น

Extension ที่เกิดปัญหาคือ Evernote Web Clipper for Chrome ซึ่งช่วยอำนวยความสะดวกให้ผู้ใช้งานสามารถเซฟหน้าเว็บ บทความ รูปภาพ ข้อความ และ อีเมลมายัง Evernote ได้ ประเด็นก็คือนักวิจัยได้พบช่องโหว่ Cross-site-script (XSS) ซึ่งทำให้สามารถ Bypass กระบวนการป้องกันหรือ SOP ของบราวน์เซอร์เพื่อเข้าไปอ่านข้อมูลได้

เหตุการณ์จะเกิดขึ้นเมื่อเหยื่อเข้าชมเว็บไซต์อันตรายที่มีการโหลด Hidden iframe ซึ่งเป็นโอกาสให้เกิดการใช้งานช่องโหว่เพื่อ inject ตัว payload อันตรายจากคนร้ายเข้ามาทุก iframe จากนั้นจะสามารถลอบขโมย Cookies, Credential และข้อมูลอื่นๆ ได้ โดยทางนักวิจัยได้โพสต์วีดีโอสาธิตถึงการขโมยข้อมูลของ Facebook และ PayPal Transaction ไว้ด้านบนครับ

สำหรับช่องโหว่มีหมายเลขอ้างอิง CVE-2019-12592 ซึ่งถูกแพตช์แล้วในเวอร์ชัน 7.11.1 ทั้งนี้ Extension ดังกล่าวมีผู้ใช้งานกว่า 4.6 ล้านคน ดังนั้นหากใครใช้อยู่ก็อย่าลืมอัปเดตกันได้ครับ

ที่มา :  https://www.securityweek.com/flaw-evernote-extension-allows-hackers-steal-data