افزونه‌ی برنامه‌ی Evernote و آسیب‌پذیری میلیون‌ها کاربر

Evernote

 آسیب پذیری Evernote Web Clipper منجر به سرقت اطلاعات میلیون‌ها کاربر این سرویس شد.

مشکل امنیتی کشف شده که از نوع UXSS در افزونه‌ی برنامه‌ی Evernote  نصب شده بر روی مرورگر کروم باعث می‌شود که مهاجمان بتوانند اطلاعات کاربر را بدست آوردند و مورد سوء استفاده قرار دهند. بر طبق گزارش شرکت امنیتی گاردیو (Guard.io)، آسیب‌پذیری درماه گذشته کشف شده است و میلیون‌ها نفر را تحت تاثیر قرار می‌دهد.

شرکت Evernote

یکی از سرویس‌های محبوب یادداشت برداری هست که با توجه به امکانات و هزینه‌ی مناسب اشتراک در آن، توانسته است کاربران زیادی را به خود جذب کند. در سطح رایگان نیز، امکانات خوبی دارد.

حملهUXSS  چیست؟

حمله‌ی مشابه XSS و سمت کاربر، با این تفاوت که به مهاجم و هکر اجازه می‌هد به افزونه‌ها نیز دسترسی داشته باشد. با توجه به نقص کشف شده، اشتباه تیم برنامه نویسی افزونه باعث شده که مهاجم بتواند به اطلاعاتی حساس کاربر در تمامی سایت‌های مشاهده شده دسترسی پیدا کند.

به گفته محققان امنیتی گاردیو، نقص آسیب پذیری اسکریپت رخ داده شده نتیجه یک خطای منطقی در برنامه نویسی و یک مسئله Data sanitization در هنگام توسعه این افزونه وب بوده است.

آسیب‌پذیری با شناسه CVE-2019-12592 ثبت شده است و قابل پیگیری می‌باشد.

آسیب‌پذیری هم اکنون در آخرین بروزرسانی محصول رفع شده است. برای دریافت آخرین نسخه، به سایت توسعه دهنده مراجعه شود.

Major vulnerability in Evernote’s Web Clipper left user data of millions vulnerable