恶意网站可利用浏览器扩展 API，窃取浏览器数据

内容简介：恶意网站可以利用浏览器扩展 API，在浏览器内执行代码，来窃取用户敏感信息，比如用户书签、历史浏览记录和 cookies。在这之后，攻击者可能劫持用户的登陆会话。而敏感账户像是电子邮件、社交媒体或工作账户等，可...

恶意网站可以利用浏览器扩展 API，在浏览器内执行代码，来窃取用户敏感信息，比如用户书签、历史浏览记录和 cookies。在这之后，攻击者可能劫持用户的登陆会话。而敏感账户像是电子邮件、社交媒体或工作账户等，可能被攻击者访问。

此外，攻击者这种浏览器扩展 API 的恶意使用方式，可以用来触发恶意文件下载并存储用户设备上。常驻在扩展中存储和检索数据，可以在网络上追踪用户。

这类型攻击的存在已在学术论文中得到验证，研究员用软件识别出近200个将内部扩展 API 通信接口暴露给 Web 应用的扩展，恶意网站可以通过这些软件访问用户浏览器中的数据。

研究院成员在1月初已经向浏览器报告调查结果。各大浏览器基本已采取行动，或下架了有问题扩展。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• 360 浏览器：中国为什么没有自主研发的浏览器内核？
• 新版 Edge 浏览器或将拥有两个不同的浏览器内核
• [浏览器安全漏洞二] hao123桔子浏览器 – 页面欺骗漏洞
• Brave 浏览器续航测试：功耗比各大主流浏览器都要低
• 【winter重学前端笔记】10浏览器：一个浏览器是如何工作的？CSS计算
• CSS浏览器兼容性的4个解决方案：浏览器CSS样式初始化、浏览器私有属性，CSS hack语法和自动化插件

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。