Jediné kliknutí na podvodný odkaz může stačit k tomu, aby útočník získal přístup ke všem vašim repozitářům na GitHubu. Bezpečnostní výzkumník zveřejnil dosud neopravenou zranitelnost v populárním editoru Visual Studio Code, který používají vývojáři i studenti po celém světě.
Chyba se týká github.dev — odlehčené verze editoru, kterou GitHub spustí přímo v prohlížeči, když u libovolného repozitáře stisknete klávesu tečka. Výzkumník Ammar Askar popsal, jak útočník dokáže do této webové aplikace propašovat škodlivý kód a pomocí něj vytáhnout přihlašovací token. Token je v podstatě digitální klíč, kterým se uživatel prokazuje místo jména a hesla.
Zákeřné na tom je, že tento token nedává přístup jen k jednomu projektu. Otevírá útočníkovi dveře ke všem repozitářům, ke kterým má oběť oprávnění — tedy i k soukromým. Zveřejněný důkaz funkčnosti (proof-of-concept) ukazuje, jak útočník po získání tokenu jednoduchým dotazem na rozhraní GitHubu vypíše seznam všech soukromých projektů oběti.
Pro útok stačí, aby oběť klikla na připravený odkaz. Škodlivý kód běžící uvnitř github.dev pak simuluje stisky kláves a sám nainstaluje rozšíření, které token odešle útočníkovi. Žádné stahování souborů ani zadávání hesla — celé se to odehraje na pozadí během chvilky.
V době zveřejnění neexistovala oficiální oprava ani přidělené evidenční číslo zranitelnosti (CVE). Microsoft, který za VS Code stojí, zatím chybu nezáplatoval. Askar uvedl, že se rozhodl pro úplné zveřejnění kvůli zkušenosti z minulosti, kdy podle něj firma jeho dřívější nález tiše opravila a nepřiznala mu zásluhy.
Téma se přímo dotýká i českého prostředí. Visual Studio Code patří k nejrozšířenějším editorům na školách i ve firmách a GitHub dnes používá většina vývojářských týmů i studentů při výuce programování. Únik tokenu může znamenat prozrazení neveřejného zdrojového kódu nebo školních projektů.
Praktický tip: Než bude k dispozici oprava, vyplatí se být obezřetný u odkazů, které vás směrují na github.dev — zvlášť pokud přišly od neznámého odesílatele. Dočasnou ochranou je smazat cookies a místní data pro doménu github.dev v nastavení prohlížeče. Editor vás pak při dalším otevření vyzve k novému přihlášení a token se automaticky neodešle. Obecně platí, že odkaz vedoucí na přihlašovací nebo vývojářské služby je vždy lepší napsat ručně, než na něj kliknout.
Zranitelnosti tohoto typu připomínají, že i nástroje, kterým denně bezvýhradně důvěřujeme, mohou být zneužity — pozornost u odkazů se vyplatí i zkušeným vývojářům.
Zdroj: Bleeping Computer
