Ελάττωμα ασφαλείας της Evernote εξέθεσε εκατομμύρια χρήστες
Μία από τις επεκτάσεις της Evernote στο Chrome ήταν ελαττωματική κατά τρόπο που ένας χάκερ θα μπορούσε να κλέψει ευαίσθητα δεδομένα των ανυποψίαστων χρηστών, και προφανώς να τα εκμεταλλευτεί με δόλιο τρόπο που να προκαλούσε πρόβλημα στην προσωπική τους ζωή.
Για εκείνους που δεν με γνωρίζουν, να εξηγήσω πως το Evernote είναι μία πλατφόρμα όπου οι χρήστες μπορούν να αποθηκεύουν οτιδήποτε βλέπουν στο διαδίκτυο, όπως μία ιστοσελίδα, φωτογραφίες, επίσης να αποθηκεύουν διαφορά προσωπικά τους πράγματα, ιδέες και άλλα πολλά.
Η συγκεκριμένη ευπάθεια που σχετίζεται με το Evernote αποκαλύφθηκε από την εταιρεία ασφαλείας Guardio, η οποία όχι μόνο ανακάλυψε το πρόβλημα, αλλά και απόδειξε με ποιο τρόπο ένας κυβερνοεγκληματίας θα μπορούσε να αποκτήσει τις ευαίσθητες πληροφορίες των θυμάτων, όπως τα προσωπικά του δεδομένα, τη δραστηριότητα στα μέσα κοινωνικής δικτύωσης, τα οικονομικά δεδομένα, τα στοιχεία αγορών, τα μηνύματα, τα emails κ.λπ.
Η Guardio είπε χαρακτηριστικά ό,τι περίπου 4.600.000 άτομα είναι δυνητικά θύματα αυτής της ιδιόμορφης ευπάθειας, δεδομένου του πόσες φορές η επέκταση του Evernote Web Clipper είχε ληφθεί και έχει εγκατασταθεί στο Google Chrome. Το ελάττωμα ονομάζεται Universal Cross-site Scripting (UXSS ή Universal XSS), γνωστό και ως CVE-2019-12592.
Το Evernote εντόπισε αυτό το σοβαρό ζήτημα στις 27 Μαΐου και εξέδωσε ένα patch στις 31 Μαΐου. Εν τούτοις οι ερευνητές επισήμαναν ό,τι το συγκεκριμένο patch ήταν πλήρως λειτουργικό από τις 4 Ιουνίου, και όχι άμεσα όπως ισχυρίζεται η εταιρεία.
Εάν δεν είστε σίγουροι αν είστε προστατευμένοι ή όχι, τότε πηγαίνετε στο chrome: // extensions /? Id = pioclpoplcdbaefihamjohnefbikjilc και βεβαιωθείτε ό,τι εκτελείτε την έκδοση 7.11.1 και άνω (δηλαδή την πιο νεότερη έκδοση)
Ο CTO της Guardio, ο Michael Vainshtein δήλωσε: «Η ευπάθεια που ανακαλύψαμε είναι μια τρανή απόδειξη για τη σημασία της λεπτομερούς εξέτασης των επεκτάσεων στα προγράμματα περιήγησης από τους χρήστες πριν το εγκαταστήσουν, όσο και από την ίδια την Google, την Mozilla, το Opera, το Safari που επιτρέπουν στους προγραμματιστές να ανεβάζουν τέτοιου είδους επικίνδυνες επεκτάσεις, εκθέτοντας ανεπανόρθωτα τον ανυποψίαστο κόσμο που δεν φταίει σε τίποτα. Όλοι οι χρήστρε πρέπει να γνωρίζουν ό,τι ακόμη και οι πιο αξιόπιστες επεκτάσεις μπορούν να εμπεριέχουν μία κρυφή που να επιτρέπει στους επιτιθέμενους να κάνουν τη βρώμικη δουλειά τους».