![](https://resizer.mail.ru/p/eac0e3be-b715-5016-9eb0-69d2e2ff701f/AQAKbYcEYRlqG6Ck7ZpPWQv57kcBPEZXztOR9xRS_F1TxEhjEe3fxoaJS_RBCS-OFQu7hMwlNNvOytIuG86SvF9v2z8.jpg)
Атака происходит через вредоносный Java-скрипт и позволяет держателям одного сайта подглядывать в содержимое других сайтов, открытых в вашем браузере. Чтобы расстаться с личными данными, достаточно зайти на сайт злоумышленника («спамера или шпиона!» — нагоняют страху специалисты по интернет-безопасности из Rapid7) с открытым в другом окне веб-интерфейсом вашего почтового сервиса. «Также злоумышленник может скопировать ваш куки и полностью перехватить на себя управление всей веб-сессией — и даже писать почту от вашего лица!»
Балох написал про свое открытие Google еще в августе. В Google ответили, что специалистам компании баг воспроизвести не удалось. В начале сентября уязвимость вызвала толки среди других «этичных хакеров» — специалистов по вопросам сетевой безопасности. Google на «слухи и домыслы» не отреагировала. Но на этой неделе код уязвимости появился на сайте Metasploit, которым пользуются неэтичные хакеры. Реакция Google — пара патчей для Android Open Source Platform Browser. Более зловещие последствия уязвимости для Chrome и других современных браузеров пока оставлены без комментариев.