安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
Spook.js:可绕过Google严苛网站隔离安全功能获取密码等数据
2021-09-14 16:15:24 【

为了应对 Spectre 漏洞,Google 推出了名为“Strict Site Isolation”(严苛网站隔离)的安全功能,主要是防止未经授权的数据被盗。不过近日一支由多所国际大学组成的团队发现了 Spook.js,这种恶意的 java script 代码可以绕过 Google 的这项安全功能从其他标签中获取密码等敏感数据。

目前,安全专家已经证实 Intel 处理器和苹果M1 芯片受到影响,但AMD芯片也被认为存在风险,但是目前并没有得到充分证明。

该团队由乔治亚理工学院、阿德莱德大学、密歇根大学和特拉维夫大学的研究人员组成。他们说,“尽管 Google 试图通过部署严格的网站隔离来缓解 Spectre,但在某些情况下,通过恶意的 java script 代码提取信息仍然是可能的”。

研究人员继续说:“更具体地说,我们表明,攻击者控制的网页可以知道用户当前正在浏览同一网站的哪些其他页面,从这些页面中获取敏感信息,甚至在自动填充时恢复登录凭证(例如,用户名和密码)。我们进一步证明,如果用户安装了一个恶意扩展,攻击者可以从 Chrome 扩展(如凭证管理器)中检索数据”。

安全研究人员分享了几段视频,展示了 Spook.js 的行动。在第一段视频中,该攻击被用来从 Chrome 浏览器的内置凭证管理器中获取 Tumblr 博客的密码。

在第二个视频中,一个恶意的浏览器扩展被用来从 LastPass 盗取主密码。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇ddos常见的3个误区 下一篇Sentry Web 性能监控之 Trends

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800