Threats
Investigadores da Universidade de Wisconsin-Madison lançaram uma extensão que permite roubar palavras-passe em texto simples como prova de conceito
06/09/2023
|
Uma equipa de investigadores da Universidade de Wisconsin-Madison colocaram uma extensão na Chrome Web Store como prova de conceito que permite roubar passwords em texto simples a partir do código fonte de um site. Uma análise aos campos de input dos browsers revelou que vários sites com milhões de visitantes – incluindo alguns portais da Google e da Cloudflare – armazenam palavras-passe em texto simples dentro do código fonte das páginas, que permite a extensão a roubar as mesmas. Os investigadores explicaram que o problema está na prática sistémica de dar às extensões do browser acesso sem restrições ao DOM dos sites quando estes carregam, o que permite que aceder a elementos potencialmente sensíveis. Dado a falta de fronteiras entre a extensão e os elementos do site, o site dá acesso sem restrições aos dados visíveis no código fonte, podendo ser retirado daí conteúdos. Adicionalmente, a extensão pode abusar da API DOM para diretamente extrair o valor de inputs à medida que o utilizador entra nela, ultrapassando qualquer ofuscação aplicada pelo site para proteger inputs sensíveis. |
Receba todas as novidades na sua caixa de correio!
NEWS
CrowdStrike resolve problema que impacta serviços a nível a mundial
OPINION
Reforçar a cibersegurança com NIS2
ANALYSIS
Maioria das empresas não tem fortes proteções anti-phishing
ANALYSIS
Falha na CrowdStrike impactou 8,5 milhões de dispositivos
S.LABS
Inteligência Artificial: um caminho sem retorno focado na antecipação e adaptação
THREATS
Nvidia corrige vulnerabilidade em produtos de IA e rede
THREATS
Nova tática de phishing utiliza proteções de e-mail para mascarar links
THREATS
CISA alerta para exploração de falha crítica no GeoServer GeoTools
THREATS
AT&T e Snowflake pressionadas por senadores norte-americanos
THREATS
Cibercriminosos usam vulnerabilidade de zero-day do Internet Explorer
