Deleted
Суть всей статьи. Куда логин с паролем ввел, туда их и слил.
Автор! Ждем статью про опасности установленных дополнений в браузере.
К примеру блокировщики рекламы. (Для тех кто не знает как они работают)
раскрыть ветку (19)
Нет, я говорю не о вводе логина и пароля, а как раз о способе получения доступа без ввода логина и пароля действиями которые почти мы все совершаем и не думаем о том что это может быть не безопасно.
раскрыть ветку (17)
Изначально человек провел сеанс авторизации через приложение\дополнение. Это и есть слитие ID. Этого достаточно для выполнения дальнейших действий.
Я хотел предложить расширить данную тему за пределами VK. К примеру, установка всего подряд на android\apple телефон с подключенным банк клиентом.
(особенно с полученным root)
раскрыть ветку (15)
Это было бы уже слишком для пикабу (Народ бы увы не понял), хотя если бы выложить инфу как что-то взломал - пост улетел бы в топ и был успешно забыт через неделю всеми.
раскрыть ветку (14)
Если интересно написать сможешь, то многие не забудут. Основной минус всех этих IT статей в том, что их преподносят как справочную информацию. "Я разобрал и почистил платы смартфона, перепаял конденсатор, мне было интересно и весело. Желаю того и Вам!"
Пост добавят в закладки если он будет содержать дельные советы.
Предложение:
Может лучше рассказать не о том, что данные слитые в интернет можно перехватить.
А рассказать о том, какими способами "И!!!" На сколько это просто! Перехватывать данные передаваемые в интернет.
Сообщество Пикабу, мне кажется, мигом запомнит такую информацию, а пост останется в закладках.
P.S. Дьявол кроется в мелких деталях.
раскрыть ветку (1)
Не очень понял, а как действовал плагин браузера?
В мобильном клиенте человек сам вводит логин/пасс, а здесь как? Плагин явно запросил авторизацию для приложения?
раскрыть ветку (11)
Он скрыто открыл страницу авторизации (Как вы на сайты входите через ВК) скрытно от пользователя и подтвердил авторизацию (Это если упрощенно)
раскрыть ветку (8)
Если не секрет, что за плагин? Сами написали?
Такой ведь не попадет в магазин плагинов, человек должен целенаправленно его скачать.
раскрыть ветку (5)
Да сам написал для тестирования. Если так интересно то для человеков простых могу сделать новый пост где это будет описано подробнее. Ну а модерацию пройти в гугл маркете (Если мы говорим о хроме) не проблема я думаю. Ну а "заставить" человека поставить плагин не такая уж и проблема (Социальная инженерия и т п)
раскрыть ветку (4)
Я немного дополню.
Часто сохраняют в браузере пароли и логины, это удобно. А потом ставят дополнения, для них это сохранение = ввод паролей и логинов от пользователя.
раскрыть ветку (1)
человек сам вводит логин/пасс,
человек провел сеанс авторизации через приложение\дополнение
Куда логин с паролем ввел, туда их и слил.
Достаточно первого раза(при создании аккаунта, например)
Смысл таков, левый мобильный клиент может использовать данные пропущенные через него, по своему усмотрению. В дальнейшем хозяин\разработчик клиента может использовать данные, без уведомления об этом их хозяина. Плагины в браузере имеют возможность хранить историю того, что вы вводите в браузер с клавиатуры, но только внутри данного браузера.
К примеру: Многие люди не заморачиваются создавать разные пароли для разных сервисов.
Пример: Почта, Комп на работе, Банк клиент. Для всех один _P@$$w0rd*
Дополнение может перехватить данный пароль и запомнить его.
раскрыть ветку (1)
По сути это уже кейлогер на уровне браузера выходит.
С мобильным клиентом понятно, если ты ввел логин/пасс в левое приложение, то сам себе злобный буратино.
С плагином уже интереснее, правда я таких не видел.
