Атака происходит через вредоносный Java-скрипт и позволяет держателям одного сайта подглядывать в содержимое других сайтов, открытых в вашем браузере. Чтобы расстаться с личными данными, достаточно зайти на сайт злоумышленника («спамера или шпиона!» — нагоняют страху специалисты по интернет-безопасности из Rapid7) с открытым в другом окне веб-интерфейсом вашего почтового сервиса. «Также злоумышленник может скопировать ваш куки и полностью перехватить на себя управление всей веб-сессией — и даже писать почту от вашего лица!»
Балох написал про свое открытие Google еще в августе. В Google ответили, что специалистам компании баг воспроизвести не удалось. В начале сентября уязвимость вызвала толки среди других «этичных хакеров» — специалистов по вопросам сетевой безопасности. Google на «слухи и домыслы» не отреагировала. Но на этой неделе код уязвимости появился на сайте Metasploit, которым пользуются неэтичные хакеры. Реакция Google — пара патчей для Android Open Source Platform Browser. Более зловещие последствия уязвимости для Chrome и других современных браузеров пока оставлены без комментариев.
