為了應對 Spectre 漏洞,Google 推出了名為“Strict Site Isolation”(嚴苛網站隔離)的安全功能,主要是防止未經授權的數據被盜。不過近日一支由多所國際大學組成的團隊發現了 Spook.js,這種惡意的 JavaScript 代碼可以繞過 Google 的這項安全功能從其他標籤中獲取密碼等敏感數據。
目前,安全專家已經證實 Intel 處理器和蘋果 M1 芯片受到影響,但 AMD 芯片也被認為存在風險,但是目前並沒有得到充分證明。
該團隊由喬治亞理工學院、阿德萊德大學、密歇根大學和特拉維夫大學的研究人員組成。他們說,“儘管 Google 試圖通過部署嚴格的網站隔離來緩解 Spectre,但在某些情況下,通過惡意的 JavaScript 代碼提取信息仍然是可能的”。
研究人員繼續說:“更具體地說,我們表明,攻擊者控制的網頁可以知道用戶當前正在瀏覽同一網站的哪些其他頁面,從這些頁面中獲取敏感信息,甚至在自動填充時恢復登錄憑證(例如,用戶名和密碼)。我們進一步證明,如果用戶安裝了一個惡意擴展,攻擊者可以從 Chrome 擴展(如憑證管理器)中檢索數據”。
安全研究人員分享了幾段視頻,展示了 Spook.js 的行動。在第一段視頻中,該攻擊被用來從 Chrome 瀏覽器的內置憑證管理器中獲取 Tumblr 博客的密碼。
在第二個視頻中,一個惡意的瀏覽器擴展被用來從 LastPass 盜取主密碼。