DoNews 6月27日消息(劉文軒)瀏覽器的渲染網頁元件不僅能提供開發人員更快打造網頁應用程序,也可能成為黑客用來發動攻擊的途徑。研究人員mr.d0x於6月21日公佈鎖定微軟Edge瀏覽器的攻擊手法,滲透的主要管道是WebView2元件。
他們修改瞭微軟提供的WebView2范例,即可通過WebView2本身的功能,將JavaScript註入網站,或是把鍵盤側錄程序植入微軟登錄頁面,將用戶輸入的信息回傳。
研究人員指出,黑客不隻能將WebView2用於上述攻擊,還能濫用於竊取Cookie,進而存取用戶數據的資料夾(User Data Folder,UDF),有可能因此繞過兩步驗證(MFA)機制。不過針對上述發現,微軟認為用戶若是能保持良好的使用習慣,還是有機會降低遭到濫用WebView2攻擊的風險。