נראה כי לדפדפן Microsoft Edge יש פגיעות חמורה בסיסמה. דיווחים אחרונים חושפים כי תוקפים או האקרים יכולים בקלות להשיג סיסמאות משתמש וקבצי קובצי cookie לחשבונות מקוונים, פגיעות שהתגלתה על ידי מומחה האבטחה מנואל קבאלרו, מישהו עם ניסיון רב בחשקים ופגמים של Internet Explorer.

התוקפים יכולים לעקוף את הגנת ה- SOP של Edge

הפגיעות מאפשרת לתוקף לטעון ולהוציא לפועל קוד זדוני באמצעות URIs נתונים, תג רענון מטא, ודפים חסרי תחום כגון: blank. לטכניקת הניצול הזו יש וריאציות רבות, וקבאלרו הציג את הדרכים בהן האקר יכול לבצע קוד באתרים בעלי פרופילים גבוהים רק על ידי הונאת משתמשים לגשת לכתובת אתר זדונית.

קבאלרו הראה שלוש הדגמות בהן הוא ביצע קוד בדף הבית של בינג, צייץ בשם של משתמש אחר וגנב את הסיסמה וקובצי העוגיות מחשבון טוויטר.

ההתקפה האחרונה חשפה מחדש שגיאת אבטחה בעיצוב הדפדפנים המודרניים: יכולתו של האקר להתנתק ממשתמש, לטעון דף כניסה ולגנוב את תעודות האישור של המשתמש מולאו אוטומטית על ידי תכונת מילוי האוטומציה של הדפדפן.

הפגיעות עדיין לא הוגדרה. מסיבה זו, Caballero סיפק הדגמות להורדה, כך שמשתמשים יוכלו לבדוק את קוד המקור ולוודא שהסיסמאות והעוגיות שלהם לא מועלות בשום מקום.

ההתקפות מתבצעות אוטומטית על ידי הסרת רע

נראה גם כי ניתן להתאים אישית את ההתקפות על מנת להשליך את הסיסמאות או העוגיות של שירותים מקוונים נוספים כמו אמזון, פייסבוק ועוד. רק Edge מושפע מכיוון ש- " עקיפות UXSS / SOP נוטות להיות מיוחדות לכל דפדפן."

מודעות מודרניות מספקות קוד JavaScript לדפדפנים וזו הסיבה שתוקפים יכולים להקל על מסעות פרסום בהפעלה לאוטומטית למסירת ניצול זה לכמות עצומה של קורבנות.

למידע נוסף, תוכלו לקרוא את התיאור הטכני של Caballero בנושא.