De acordo com um relatório de Tavis Ormandy da equipa da Google Project Zero, a extensão Grammarly, usada por quase 22 milhões de utilizadores, expõem os tokens de autenticação permitindo que qualquer atacante possar aceder aos dados da vítima sem o seu prévio consentimento.
A vulnerabilidade crítica foi identificada na sexta feira e patched na segunda-feira pela manha, “um tempo de resposta impressionante“, disse Ormandy.
O Grammarly, foi lançado em 2009 por developers ucranianos. Esta extensão examina todas as mensagens, documentos e posts de redes sociais e tenta limpar erros para que o utilizador fique com o inglês o mais claro possível. A extensão do browser tem acesso a praticamente tudo que um utilizador digita, e, portanto, um atacante pode aceder a uma enorme quantidade de dados privados.
A exploração é simples. Basta digitar um par de comandos na consola do web-browser para obter acesso total, como explicou Ormandy. Não está claro se a vulnerabilidade foi explorada. A equipa do Grammarly ainda não divulgou qualquer nota de imprensa sobre esta vulnerabilidade.
Esta vulnerabilidade afeta os web-browsers Chrome e Firefox. É indispensável a sua atualização ASAP.
Referência
https://bugs.chromium.org/p/project-zero/issues/detail?id=1527&desc=2
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.