Разширения за Google Chrome са способни да крадат пароли от уебсайтове като Gmail, Amazon и Facebook
Гугъл Chrome дължи огромна част от известността си на стотиците разширения, които уголемяват функционалността му и даже вършат сърфирането по-безопасно както за деца, по този начин и за възрастни. Много от разширенията обаче могат да извличат и частно наличие, като да вземем за пример имейли или банкови данни, което ги трансформира в евентуален призрачен сън за поверителността на милиони консуматори. Наскоро екип от откриватели в региона на киберсигурността потвърди, че хората би трябвало да бъдат деликатни когато конфигурират разширения, защото не всички от тях са безвредни за потребление.
Екипът от откриватели от Университета на Уисконсин-Медисън е качил в уеб магазина на Chrome като доказателство концептуално уголемение, което може да краде пароли в елементарен текст от изходния код на уеб страница.
Изследването на полетата за въвеждане на текст в уеб браузърите разкри, че грубият модел на разрешенията, залегнал в основата на разширенията за Chrome нарушава съществени правила на киберсигурността.
Освен това откривателите откриха, че уеб страници с милиони гости, в това число някои портали на Гугъл и Cloudflare съхраняват пароли в елементарен текст в изходния HTML код на своите уебстраници, което разрешава на разширенията да ги извличат.
Източник на казуса
Изследователите изясняват, че казусът е обвързван със систематичната процедура разширенията на браузъра да получават безграничен достъп до „ DOM дървото “ на уеб страниците, които зареждат, което разрешава достъп до евентуално чувствителни детайли, като да вземем за пример полетата за въвеждане на данни от потребителя.
Предвид неналичието на каквато и да е граница на сигурност сред разширението и детайлите на уеб страницата, първото има безграничен достъп до данните, забележими в изходния код и може да извлече всяко тяхно наличие.
Освен това разширението може да злоупотребява с DOM API, с цел да извлича непосредствено цената на входните данни, до момента в който потребителят ги вкарва, заобикаляйки всякакво замаскиране, приложено от уеб страницата за отбрана на сензитивните входни данни.
В техническия документ, който откривателите от Университета на Уисконсин-Медисън разгласиха по-рано тази седмица се твърди, че към 17 300 разширения в уеб магазина на Chrome (12,5%) разполагат с нужните позволения за добиване на сензитивна информация като пароли от уеб страници.
Няколко от тях, в това число необятно употребяваните пъкъл блокери и приложения за извършване на покупки могат да се похвалят с милиони съоръжения.
Забележителни образци за липса на отбрана на уеб страници, посочени в отчета, включват:
gmail.com – съхранява пароли в елементарен текст в изходния код на HTML cloudflare.com – съхранява пароли в елементарен текст в изходния код на HTML facebook.com – потребителски данни могат да бъдат извлечени посредством DOM API citibank.com – потребителски данни могат да бъдат извлечени посредством DOM API irs.gov – SSN са забележими в елементарен текст в изходния код на уебстраницата capitalone.com – SSN са забележими в елементарен текст в изходния код на уебстраницата usenix.org – SSN са забележими в елементарен текст в изходния код на уебстраницата amazon.com – данните за кредитната карта (включително кода за сигурност) и ZIP кодът са забележими в елементарен текст в изходния код на страницатаАнализът сподели, че 190 разширения (някои от които с над 100 хиляди изтегляния) имат директен достъп до полетата за въвеждане на ключова дума. Говорител на Гугъл удостовери, че компанията преглежда въпроса.
