由于Chrome扩展中的缺陷,460万Evernote用户的数据面临风险
您已经听说要小心安装的浏览器扩展程序是多么重要,并且您知道在决定是否允许在浏览器附近的任何位置使用特定插件之前需要考虑哪种标准。理想情况下,您只需添加来自知名供应商的扩展程序,拥有大型用户基础,并享受大多数积极评价。 Evernote Web Clipper for Chrome如何叠加?
嗯,它是由为你带来Evernote的人们开发的 - 一个流行的笔记应用程序。扩展本身的评分超过13万人,平均评分约为4.7星,这令人印象深刻。根据Chrome网上应用店的说法,超过460万用户已经下载了它。
从理论上讲,扩展使用起来非常安全。然而,在实践中,直到几周前,事实并非如此。
Evernote的Web Clipper Chrome扩展程序存在严重的安全漏洞
上个月,Guardio的研究人员https://guard.io/blog/evernote-universal-xss-vulnerability发现了一个与Web Clipper Chrome扩展相当严重的安全漏洞。这是一个通用的跨站点脚本漏洞,作为概念验证漏洞演示 ,它可能被用来窃取Facebook帐户信息到PayPal交易数据的任何内容。
这就是使漏洞如此危险的原因。正如Guardio所说,大多数易受攻击的扩展程序的覆盖范围相当有限,只会影响插件供应商处理的数据。然而,Web Clipper扩展中的缺陷使得以任何方式盗窃与Evernote无关的各种信息。
所有黑客都需要做的是将受害者引诱到恶意网站并在iframe中隐藏一些代码。清理机制中的错误意味着扩展可能被迫执行代码并让犯罪分子进入。
Evernote迅速解决了这个问题
正如您所看到的,即使为数百万用户提供服务的大公司在编写软件时也会犯错误。在这种情况下,了解这些错误是如何修复非常重要的,我们很高兴地报告说Evernote非常重视此事。
5月27日,瓜迪奥与该软件供应商取得联系并私下披露了安全问题。在24小时内,Evernote承认了这个问题并开始修复它。第二天,瓜迪奥的研究人员获得了对Evernote安全名人堂的奖励,两天后,即5月31日,新版的Web Clipper Chrome扩展程序正式发布。 Guardio的专家已确认此更新修复了此漏洞,这意味着如果您在Chrome浏览器上使用Web Clipper,则必须确保其版本为7.11.1或更高版本。