不過近日一支由多所國際大學組成的團隊發現了Spook.js,這種惡意的 JavaScript 程式碼可以繞過 Google 的這項安全功能從其他標籤中獲取密碼等敏感資料。
目前,安全專家已經證實 Intel 處理器和蘋果M1 晶片受到影響,但AMD晶片也被認為存在風險,但是目前並沒有得到充分證明。
該團隊由喬治亞理工學院、阿德萊德大學、密歇根大學和特拉維夫大學的研究人員組成。他們說,“儘管 Google 試圖透過部署嚴格的網站隔離來緩解 Spectre,但在某些情況下,透過惡意的 JavaScript 程式碼提取資訊仍然是可能的”。
研究人員繼續說:“更具體地說,我們表明,攻擊者控制的網頁可以知道使用者當前正在瀏覽同一網站的哪些其他頁面,從這些頁面中獲取敏感資訊,甚至在自動填充時恢復登入憑證(例如,使用者名稱和密碼)。我們進一步證明,如果使用者安裝了一個惡意擴充套件,攻擊者可以從 Chrome 擴充套件(如憑證管理器)中檢索資料”。
安全研究人員分享了幾段影片,展示了 Spook。js 的行動。在第一段影片中,該攻擊被用來從 Chrome 瀏覽器的內建憑證管理器中獲取 Tumblr 部落格的密碼。
在第二個影片中,一個惡意的瀏覽器擴充套件被用來從 LastPass 盜取主密碼。
