28.09.2017 в 19:41

Уязвимость в Internet Explorer позволяет хакерам читать поисковые запросы пользователей

Информация, которую пользователь вводит в поисковой строке, часто отслеживается рекламными трекерами да и самими браузерами, чтобы потом предоставлять пользователям таргетированную рекламу. Но иногда эти же данные могут перехватываться злоумышленниками, которые используют ее для слежки за пользователями и получения более важной информации. Такую возможность хакерам предоставляет браузер Internet Explorer, в котором обнаружена опасная уязвимость.

Она позволяет не только отслеживать тематику поисковых запросов, но и видеть полностью весь текст, который человек вводит в строке поиска.

Обнаружить такую уязвимость в браузере удалось исследователю по информационной безопасности Мануэлю Кабальеро. Он заметил, что эта проблема затрагивает не только поисковые запросы, которые автоматически отрабатываются в поисковике Bing, но и адреса сайтов, которые вводятся пользователем в браузере впервые. По информации специалиста, эта информация может использоваться для совершения тергетированных атак или же сбора конфиденциальной информации о пользователе.

Для эксплуатации этой уязвимости хакерам необходимо использовать одно из двух условий. Первое заключается в добавлении на страницу вредоносного HTML-тэга object. Второе — в добавлении в исходный код метатега compatibility. Оба эти условия встречаются довольно часто, поэтому хакерам не составит труда обнаружить их.

Чтобы скрыть вредоносные теги, злоумышленники могут использовать зараженные сайты или же рекламные баннеры, которые предоставляют хакерам очень широкие возможности.

Что касается метатегаX-UA-Compatible, то с его помощью веб-разработчики выбирают режим совместимости с версией браузера Internet Explorer. У большинства сайтов в Интернете имеется этот метатег.

Как пояснил исследователь, если соблюдаются вышеописанные условия, то злоумышленники легко могут спровоцировать ошибку, с помощью которой HTML-тег получает доступ к информации, отображаемой в основном окне браузера. Именно это позволяет злоумышленникам читать, что именно пользователь вводит в адресную строку.

В подтверждение своих слов, эксперт создал специальную демо-страницу, которую использовал для демонстрации совершенной атаки и эксплуатации обнаруженной уязвимости.

Источник новости: topbrowser.ru
189 просмотров

Оставить комментарий

Популярные статьи

Как установить Internet Explorer на Mac OS

прочтений: 8301 23.12.2015 в 19:12
У разработчиков различных программных продуктов очень часто возникает необходимость тестирования своих новых наработок в разных браузерах. Но если для основной работы используются, например, компьютеры... Читать далее
Браузер Opera Mini как для Android, так и для остальных мобильных ОС, на которых он выпущен (Symbian, iOS, Windows Phone), имеет встроенную функцию сохранения страниц веб-сайтов с дальнейшей возможностью их просмотра без подключения... Читать далее
Часто возникает необходимость сохранять различные страницы в Интернете для последующего их использования. И отлично справляется с этим такая функция браузера, как добавление закладок и, конечно же,... Читать далее
В отличие от браузера Google Chrome, в котором функция сохранения страницы в PDF является встроенной, в Firefox и Opera это достигается установкой специальных расширений и плагинов.... Читать далее
Облако тегов