Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Evernote Web Clipper voor Chrome was te misbruiken met cross-site scripting

Een kwetsbaarheid in de Chrome-extensie van de Evernote Web Clipper maakte het mogelijk gebruikersdata te verzamelen via cross-site scripting. Via die kwetsbaarheid was het mogelijk data te stelen van andere websites.

Het lek werd ontdekt door beveiligingsbedrijf Guardio. Dat ontdekte een manier om de extensie te misbruiken om informatie af te lezen van niet alleen Evernote zelf, maar ook van andere websites. De kwetsbaarheid, volgbaar onder CVE-2019-12592, is inmiddels opgelost door Evernote.

Om de exploit uit te voeren moesten aanvallers het slachtoffer naar een besmette website sturen. Op die website werd de kwetsbaarheid in de Web Clipper uitgebuit door iframes met daarin code die bijvoorbeeld cookies kan stelen of inloggegevens kon bemachtigen. De aanvallers moesten voor de aanval een apart iframe maken voor iedere website waar zij op mee wilden kijken of waar zij informatie van wilden bemachtigen. In een proof-of-concept laten zij zien hoe zij via de kwetsbaarheid een bericht kunnen plaatsen op Facebook.

De kwetsbaarheid in de extensie maakte het mogelijk de domain isolation-beveiliging van Chrome te omzeilen. De extensie op Firefox was niet kwetsbaar. De Web Clipper voor Chrome werd door 4,6 miljoen mensen gebruikt, maar voor zover bekend is het lek niet actief uitgebuit.

Door Valentijn Demandt

Stagiair nieuwsredactie

13-06-2019 • 15:19

19 Linkedin Google+

Reacties (19)

Wijzig sortering
Vind dit eigenlijk niet zozeer een fout in evernote maar eerder in Chrome. Die moet de domain-isolation beveiliging toch zodanig maken dat het niet omzeild kan worden?
Domain-isolation zit er niet voor niets in. Zou niet te omzeilen moeten zijn, dus zeker een fout van Chrome. Evernote heeft het gefixt, maar kwaadwillende kunnen dus een extensie maken waarin domain-isolation omzeilt kan worden.
Kwaadwillende die een extensie maken kunnen alles met die extensie als deze genoeg rechten heeft.

Oppassen dus welke extensies je installeert.

edit:
Chrome begon met het verhaal dat een Chromebook veilig is omdat het OS geïsoleerd is, vervolgens voegen ze extensies toe die het hele concept van veilig onderuithalen en nu verspreiden die extensies zich ook nog eens over machines. Ik krijg meer waarschuwingen als ik een exe probeer te installeren op windows dan als ik een extensie installeer in chrome. Als er al serieus veel malafide app in de appstore van android staan dan zijn er vast ook veel malafide extensies. (Mijn vrouw had laatst al een QR code reader app die op willekeurige momenten reclames over het scherm drukte terwijl de app niet actief was)

HIer een link hierover:
https://www.wired.com/story/chrome-extension-malware/

[Reactie gewijzigd door PuzzleSolver op 13 juni 2019 16:48]

Interessant! Ik heb in het verleden wel eens een extensie gehad die door Chrome was uitgeschakeld, omdat deze onveilig was. Blijkbaar zit er nog wel iets van een check in, maar die extensie heb ik wel een tijdje kunnen gebruiken.

Mijn kinderen installeren regelmatig spelletjes op hun tablet, die inderdaad op willekeurige momenten reclame tonen, ook al is de app niet actief. Deze apps worden ook niet gevonden door anti virusscanners Google heeft blijkbaar op zowel hun OS'en en browser nogal wat veiligheidsissues...
Toch het gevaar met al de extensies tegenwoordig. Ook omdat je weinig controle hebt over waar extensies wel of niet zouden mogen draaien. Ik zie bijv wel meerwaarde in sommige extensies maar gebruik ze niet omdat ik niet wil dat iets draait boven mijn mail/bank/social omgeving.
De fout zit dus niet zozeer in de extensie maar in Chrome zelf. Evernote heeft nu gefixed dat hun extensie niet meer gebruikt kan worden om Chrome beveiliging te omzeilen. Maar het is gewoon wachten tot er een andere extensie de beveiliging kan omzeilen. Die zullen er waarschijnlijk wel al zijn

Ik kan je volgen. Ik gebruik een andere browser voor bankzaken en zo (ook zonder extensies) dan ik gebruik om dagelijks te surfen. Ik weet natuurlijk niet of de kwetsbaarheid zonder extensie uit te buiten is want dat zou mijn (en jouw) systeem overbodig maken
Jeetje wat een gedoe om wat notities bij te houden. :)

Dit programma heb ik wel eens gebruikt, maar het is erg groot. Toen maar overgestapt op Simplenote(.com). Er is een app van en je kan het dus ook via de browser bereiken. Maar via het web log ik wel gewoon in, zonder extensie. Werkt en synchroniseert goed en minimaal afhankelijk. :)
Wat notities ? Ik heb complete boeken, datasheets, logboeken en andere documenten in Evernote.
Ik sla er zelfs tools (exe files) en drivers in op... Ideaal
Ja zou kunnen, maar dat staat bij mij gewoon in de cloud in mijn drive. De gratis versie is in elk geval niet veel meer dan notities inderdaad, zo te zien: https://evernote.com/intl/nl/compare-plans

[Reactie gewijzigd door Slingeraap2 op 13 juni 2019 18:29]

Het is maar net wat voor soort gebruiker je bent. Simplenote is voor mij te simpel (pun intended). Dan mis ik toch echt opties die ik in Evernote wel heb.
Uh, oke. Maar dit betreft 1) een plugin en 2) dat had ook via je tor browser gekund..
Maar inprincipe zit de fout ook in Chrome. X. Domain-isolation is te omzeilen.

Tor is op Firefox gebaseerd als ik het juist herrineren. Op Firefox was deze bug dus niet mogelijk
Ja, maar hij heeft het erover dat hij een Tor browser gebruikt omdat de 'hoofdstroom browsers keer op keer onveilig blijken'. Ook firefox heeft, net zoals iedere andere software, bugs en al dan niet ontdekte exploits. Tis niet dat je voor een willekeurige aanval zoals dit ineens veilig bent omdat je een Tor browser gebruikt. Volgens mij gevalletje klok en klepel dan :) .
Endpoints van TOR worden ook gewoon aan alle kanten in de gaten gehouden hoor...... niks veiligs aan.
Dus jij was door je kennis niet kwetsbaar door deze aanval? Groot respect in dat geval!
Ik denk dat elke firm'a die zich met IT veiligheid bezig houd graag met je wil praten. Zou ik niet over een nekschot beginnen maar wellicht ben ik wat bekrompen.
Dat “onzin verspreiden op fora” lukt ‘m aardig in elk geval...

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True