Güvenlik araştırmacıları, Evernote'un Chrome eklentisi Evernote Web Clipper'da ciddi bir güvenlik açığı keşfetti. Açığın kişisel bilgileri üçüncü partilerin erişimine açabileceği söyleniyor.
"Evrensel Siteler Arası Komut Dosyası" (UXSS) açığı, güvenlik firması Guardio'ya göre Chrome eklentisini kullanan 4,6 milyon Evernote kullanıcısını etkilemiş olabilir. Firma, açığı keşfeder keşfetmez Evernote'u bilgilendirdi ve Evernote, açığı bir haftadan kısa bir sürede onardı. Ancak Evernote popüler olduğundan, birçok kullanıcının açıktan etkilenmiş olabileceği düşünülüyor.
Evernote sorunu onarmadan önce Web Clipper'ın kodlarındaki bir mantık hatası, saldırganların Chrome'un "aynı kaynak ilkesini" aşmasına izin veriyor, böylece Evernote dışındaki sitelerde kod çalıştırma yetkisi sağlıyordu. Chrome'un alan adı izolasyon mekanizmaları aşıldığında, kod kullanıcı adına çalıştırılabiliyor ve belirli web sayfalarındaki hassas kişisel bilgilere, sohbetlere, banka verilerine ulaşılabiliyor.
Guardio'nun CTO'su Michael Vainshtein, yaşananların eklentilerin neden dikkatle incelenmesi gerektiğini gösterdiğini, kullanıcıların eklentilere gözü kapalı güvenmemeleri gerektiğini söyledi. Vainshtein'e göre gerekli güvenlik önlemlerini almayan sadece bir eklenti, internette yaptığınız ve depoladığınız her şeyin ele geçmesine yol açabilir.