当前在线人数10582
首页 - 分类讨论区 - 新闻中心 - 科技新闻版 - 同主题阅读文章

此篇文章共收到打赏
0

  • 10
  • 20
  • 50
  • 100
您目前伪币余额:0
未名交友
[更多]
[更多]
[KJPT]Spook.js:可绕过Google严苛网站隔离安全功能获取
[版面:科技新闻][首篇作者:dnews] , 2021年09月14日00:01:38 ,57次阅读,0次回复
来APP回复,赚取更多伪币 关注本站公众号:
[分页:1 ]
dnews
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 1 ]

发信人: dnews (), 信区: ScitechNews
标  题: [KJPT]Spook.js:可绕过Google严苛网站隔离安全功能获取
发信站: BBS 未名空间站 (Tue Sep 14 00:01:38 2021, 美东)

为了应对 Spectre 漏洞,Google 推出了名为“Strict Site Isolation”(严苛网站隔离)的安全功能,主要是防止未经授权的数据被盗。不过近日一支由多所国际大学组成的团队发现了Spook.js,这种恶意的 JavaScript 代码可以绕过 Google 的这项安全功能从其他标签中获取密码等敏感数据。



目前,安全专家已经证实 Intel 处理器和苹果M1 芯片受到影响,但AMD芯片也被认为存在风险,但是目前并没有得到充分证明。

该团队由乔治亚理工学院、阿德莱德大学、密歇根大学和特拉维夫大学的研究人员组成。他们说,“尽管 Google 试图通过部署严格的网站隔离来缓解 Spectre,但在某些情况下,通过恶意的 JavaScript 代码提取信息仍然是可能的”。

研究人员继续说:“更具体地说,我们表明,攻击者控制的网页可以知道用户当前正在浏览同一网站的哪些其他页面,从这些页面中获取敏感信息,甚至在自动填充时恢复登录凭证(例如,用户名和密码)。我们进一步证明,如果用户安装了一个恶意扩展,攻击者可以从 Chrome 扩展(如凭证管理器)中检索数据”。

安全研究人员分享了几段视频,展示了 Spook.js 的行动。在第一段视频中,该攻击被用来从 Chrome 浏览器的内置凭证管理器中获取 Tumblr 博客的密码。

在第二个视频中,一个恶意的浏览器扩展被用来从 LastPass 盗取主密码。
--

※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM:162.]

 
[分页:1 ]
[快速返回] [ 进入科技新闻讨论区] [返回顶部]
回复文章
标题:
内 容:

未名交友
将您的链接放在这儿

友情链接


 

Site Map - Contact Us - Terms and Conditions - Privacy Policy

版权所有,未名空间(mitbbs.com),since 1996