L’estensione Evernote Web Clipper per Chrome è affetta da una vulnerabilità critica di tipo Universal Cross-site Scripting (UXSS) che potrebbe consentire ad un eventuale aggressore di accedere alle informazioni riservate degli utenti che usano l’add-on sfruttando servizi online di terze parti.
Evernote Web Clipper per Chrome, lo ricordiamo, consente agli utenti di archiviare sul proprio account Evernote, direttamente dal browser, contenuti online tra cui pagine Web, articoli, immagini, testo ed e-mail.
In un possibile scenario di attacco, i criminal hacker potrebbero attirare l’utente su un sito Web compromesso nel quale hanno nascosto un iframe creato ad hoc. Appena la vittima si collega ad una delle pagine ospitate sul sito, la vulnerabilità UXSS consente agli attaccanti di iniettare un payload malevolo e, grazie a questo, accedere alla memoria del browser per rubare credenziali, cookie e altre informazioni riservate.
Sfruttando questa particolare tecnica di attacco difficilmente identificabile, i criminal hacker potrebbero ad esempio spiare le attività della vittima sui social network con l’intento di rubarne l’identità oppure sottrarre i dati delle transazioni finanziarie effettuate con PayPal.
Indice degli argomenti
Vulnerabilità in Evernote Web Clipper: i dettagli
Identificata dal team dei ricercatori di sicurezza di Guardio e classificata come CVE-2019-12592, la vulnerabilità potrebbe colpire di fatto tutti gli utenti e le aziende che utilizzano l’applicazione quotidianamente: circa 4 milioni e mezzo al momento della scoperta della falla.
La vulnerabilità deriva da un errore di codifica logica di Evernote Web Clipper che ha reso possibile bypassare la cosiddetta Same Origin Policy (SOP, letteralmente: regola della stessa origine) del browser, cioè la regola di sicurezza che consente agli script in esecuzione in pagine diverse provenienti tutte dallo stesso sito di interagire tra di loro senza specifiche restrizioni, bloccando invece l’esecuzione di script in pagine provenienti da siti diversi.
Si tratta di un meccanismo di sicurezza molto importante utilizzato, ad esempio, nella gestione dei cookie per mantenere l’autenticazione delle sessioni dell’utente durante la sua navigazione sui siti Web.
In questo modo, l’attaccante che gestisce un sito Web dannoso può ottenere privilegi elevati ed eseguire codice arbitrario per conto della vittima.
Una volta che la funzione di sicurezza di Chrome è stata bypassata, i dati dei vari account dell’utente sugli altri siti Web utilizzati quotidianamente non sono più protetti e quindi facilmente accessibili da parte dei criminal hacker.
In un Proof-of-Concept video i ricercatori Guardio hanno mostrato quanto sia semplice rubare dati riservati sfruttando questa particolare tecnica di attacco:
- innanzitutto, l’utente viene spinto ad accedere al sito Web malevolo controllato dai criminal hacker, ad esempio leggendo un post sui social network o tramite un’e-mail di phishing;
- appena l’utente si collega alla pagina creata ad hoc, il sito Web dannoso carica silenziosamente uno o più tag iframe nascosti contenenti i link ad altri possibili siti Web o servizi legittimi utilizzati dall’utente;
- viene quindi innestato l’exploit che sfrutta la vulnerabilità del Web Clipper per Chrome di Evernote e il payload iniettato in tutti gli iframe mediante la tecnica dell’Universal Cross-site Scripting;
- il payload, personalizzato per ogni sito Web o servizio online, inizia subito a rubare cookie, credenziali di accesso e informazioni riservate oppure ad eseguire azioni spacciandosi per l’utente. Nei casi più gravi, il codice malevolo potrebbe essere utilizzato anche per installare malware sul computer della vittima.
Come mettere al sicuro i propri dati riservati
Dopo la segnalazione dei ricercatori Guardio lo scorso 27 maggio, Evernote ha patchato completamente la vulnerabilità e sta ora provvedendo a distribuire la versione aggiornata del suo add-on a tutti gli utenti.
Per essere sicuri di utilizzare la versione corretta dell’estensione Web Clipper Chrome di Evernote, accediamo alla pagina delle estensioni su Chrome e controlliamo di avere installato la versione 7.11.1 o superiore.
“La vulnerabilità che abbiamo scoperto è una prova dell’importanza di controllare le estensioni del browser con particolare attenzione e tenerle costantemente aggiornate. Le persone devono essere consapevoli che anche le estensioni più affidabili possono contenere una porta d’ingresso per gli aggressori. Basta un’unica estensione non sicura per compromettere qualsiasi cosa tu faccia o memorizzi online”, ha detto Michael Vainshtein, CTO di Guardio.
Per evitare, in futuro, che i criminal hacker riescano a rubare le nostre informazioni riservate mediante un attacco di tipo Cross-site Scripting è utile installare sul proprio computer un buon antivirus tenendolo sempre aggiornato con le ultime firme virali ed eventualmente installare uno strumento di analisi in grado di verificare la presenza di vulnerabilità nel codice di un sito Web.
