Kritisches Datenleck in Evernote Chrome-Erweiterung

Die Chrome-Extension Evernote Web Clipper besitzt in älteren Varianten vor der Version 7.11.1 eine kritische Schwachstelle, die vertrauliche Daten verrät. Angreifer können Nutzer über diese Schwachstelle ausspionieren.


Anzeige

Worum dreht es sich bei Evernote?

Evernote ist, laut Wikipadia, ein Onlinedienst und eine dazugehörige Software, die das Sammeln, Ordnen und Finden von Notizen, Dokumenten und Fotos in verschiedenen Formaten unterstützt. Ich persönlich nutze den Dienst nicht, weiß aber, dass der sehr populär ist.

Evernote Web Clipper wird als Add-on für diverse Browser angeboten, so dass Nutzer direkt beim Surfen Inhalte aus dem Browser in die Notizen übernehmen können.

Speichere Webseiten, Artikel und PDF-Dokumente

Sobald du online auf nützliche Informationen stößt, clippe sie einfach in Evernote. Speichere Screenshots, ganze Seiten oder nur die relevanten Abschnitte – ohne ablenkende Anzeigen und Überschriften.

Beworben wird das Ganze als ‘Speicherfunktion für das Internet’. Klingt alles zu gut, um wahr zu sein – einen Haken muss es doch geben.

Das Sicherheitsproblem beim Evernote Web Clipper

Der Haken ist der Umstand, dass die Chrome-Erweiterung des Evernote Web Clipper in älteren Versionen vor der Version 7.11.1 eine kritische Schwachstelle enthält, wodurch vertrauliche Daten verraten werden. Entdeckt haben die kritische Schwachstelle in der Evernote Web Clipper-Erweiterung für den Chrome-Browser Sicherheitsforscher des Anbieters Guardio. Diese haben das Ganze in diesem Blog-Beitrag dokumentiert.

Schaffen es Angreifer, die Nutzer der Chrome-Erweiterung auf eine präparierte Webseite zu locken, können sie die Website-Isolation des Browsers für eine Domain über das Add-on aushebeln. Die Website-Isolation soll normalerweise dafür sorgen, dass Inhalte in einem Browser-Tab nicht von einer anderen Seite über Domain-Grenzen gelesen werden können. Aber es gibt immer wieder Schwachstellen in diesem Mechanismus. Daher verwendet ich für Online-Banking z.B. immer einen separaten Browser.

Die Forscher schreiben, dass ein logischer Kodierungsfehler es ermöglicht, Domain-Isolationsmechanismen zu unterbrechen und Code im Namen des Benutzers auszuführen. Dies ermöglicht den Zugriff auf sensible Benutzerinformationen, die nicht auf die Domäne von Evernote beschränkt sind. Finanzwesen, Social Media, persönliche E-Mails und mehr sind natürliche Ziele. Der Universal XSS-Schwachstelle wurde der Code CVE-2019-12592 zugewiesen.

Im Evernote Web Clipper–Fall ermöglicht die Schwachstelle dem Angreifer den Zugriff auf Nutzerdaten für Drittanbieterwebseiten (Cookies, Zugriffstokens etc.). Das führt u.U. dazu, dass der Angreifer mit den Zugangstokens auf vom Benutzer verwendete Onlinedienste erhält. In einem Proof of Concept (PoC) haben die Sicherheitsforscher von Guardio den Zugang zu Social Media (Lesen und Posten von Inhalten), sowie Zugriffe auf eine Finanztransaktionshistorie, private Einkaufslisten und mehr nachgewiesen.


Werbung

(Quelle: YouTube)

Das obige Video demonstriert den Zugriff. Nach der Meldung der Schwachstelle durch Guardio hat Evernote binnen weniger Tage die Version 7.11.1 der Evernote Web Clipper-Extension zum 31.5.2019 bereitgestellt. Dort ist der XSS-Fehler behoben. Die Chrome-Extension aus dem Store soll inzwischen automatisch an die 4,5 Millionen Nutzer verteilt worden sein. Wie man manuell prüft, ob die neue Version bereits installiert ist, hat heise hier beschrieben. Danke an Leon für den Hinweis, das Thema aufzugreifen.


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Response to Kritisches Datenleck in Evernote Chrome-Erweiterung

  1. RUTZ-AhA sagt:

    Es ist eben nicht immer von Vorteil, wenn alles miteinander vernetzt ist. Die Anzahl der Add Ons und Geräte, die synchronisiert werden, nimmt stetig zu.
    Dadurch steigt nicht nur das Sicherheitsrisiko, sondern auch die Fehlerfindung und ihre Beseitigung bei Problemen wird immer schwieriger.
    Und wenn dann auch noch Datenklau und/oder Schadsoftware ins Spiel kommt, ist der Sonntag von den tollen Angeboten schnell mal runter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.