Pas op voor nieuwe kwetsbaarheid in de Opera-browser

Volgens The Hacker News had het probleem te maken met de ingebouwde My Flaw-functie van de browser, die deel uitmaakt van de Opera Touch Background-extensie en niet is verwijderd. Met My Flaw kunnen gebruikers notities maken en bestanden delen tussen desktop- en mobiele browsers.

Dit is een bekend verschijnsel, omdat moderne softwareontwikkelaars vaak hulpmiddelen bieden om snel gegevens uit te wisselen tussen computers en mobiele apparaten. In het geval van Opera gaat dit echter ten koste van de beveiliging.

Volgens Guardio Labs werkt de interface van My Flaw als een chat voor het delen van bestanden, met een "Open"-functie voor elk bericht met een bijlage. Dit betekent dat bestanden rechtstreeks vanuit de webinterface kunnen worden uitgevoerd. Dit resulteert in een webcontext die kan communiceren met systeem-API's om bestanden vanuit het bestandssysteem buiten de browser uit te voeren, zonder sandboxing of beperkingen.

Bovendien kunnen websites en extensies aan My Flaw worden gekoppeld. Dit betekent dat een aanvaller een schadelijke extensie kan maken die zich voordoet als het mobiele apparaat waarmee de computer van het slachtoffer is verbonden. Vervolgens kunnen ze JavaScript gebruiken om een ​​schadelijk bestand te installeren dat wordt uitgevoerd wanneer iemand ergens op het scherm klikt.

Opera-ontwikkelaars werden op 17 november vorig jaar op de hoogte gebracht van de kwetsbaarheid in My Flaw en de kwetsbaarheid werd kort daarna, op 22 november, gepatcht.