Специалисты компании EdgeSpot сообщили об уязвимости 0-day в браузере Chrome. По словам исследователей, баг дает возможность тайно собирать пользовательскую информацию при открытии PDF-файла. Компания Google признала наличие проблемы и пообещала закрыть брешь в апрельском комплекте патчей. Независимые ИБ-эксперты призывают не преувеличивать угрозу и отмечают, что трекинг документов осуществляет легитимный сервис, существующий с 2010 года.

Аналитики EdgeSpot обратили внимание на подозрительные PDF-документы, попавшие в ловушки сканеров безопасности. Файлы не проявляли криминальной активности в Adobe Reader, однако генерировали исходящий трафик, когда их открывали в Chrome. Изучив один из подозрительных объектов, специалисты обнаружили в нем JavaScript-сценарий, который отправлял ряд сведений о системе на сайт readnotify[.]com. Сформированный через POST-запрос пакет содержал следующие данные:

  • IP-адрес устройства
  • Номер версии Windows и Chrome
  • Полный путь к открытому файлу

Исследователи выяснили, что проблема кроется в функции this.submitForm() API-интерфейса обработки PDF-файлов. Аналитики разработали PoC, который отправлял набор персональных данных на адрес google[.]com/test, и сообщили о баге разработчикам Chrome.

Представители EdgeSpot решили опубликовать описание бреши до того, как Google выпустит патч, чтобы предупредить пользователей о возможной утечке данных, однако не все специалисты согласны с классификацией бага как уязвимости нулевого дня. ИБ-эксперт Патрик Уордл (Patrick Wardle) считает, что проблема лишь в том, что Chrome не предупреждает пользователя о сборе персональной информации.

Он отметил, что данные собирает компания ReadNotify, которая специализируется на трекинге документов и электронных писем. По запросу клиента организация обещает предоставить информацию о дате и времени прочтения, интернет-провайдере получателя, количестве страниц, просмотренных в PDF-файле, а также другие сведения.

С аналогичной проблемой столкнулись разработчики Adobe Reader. В январе этого года ИБ-специалист Алекс Инфюр (Alex Inführ) сообщил о баге, который давал возможность похищать NTLM-хеш, применяемый при аутентификации пользователя, а также допускал передачу сведений об открытии PDF-документа. Оперативный микропатч для этой уязвимости выпустили сторонние эксперты, а Adobe включила свою заплатку в февральский комплект обновлений.

Категории: Главное, Другие темы, Уязвимости