Google Chrome zyskuje również tym, że oferuje masę wtyczek, które zapewniają jej dodatkową funkcjonalność, ułatwiają przeglądanie internetu czy zwiększają bezpieczeństwo. Niestety obraz ten nie jest tak idealny, ponieważ znajdziemy też szkodliwe wtyczki m.in. pobierające dane i to bez naszej wiedzy oraz zgody. Grupa badaczy cyberbezpieczeństwa udowodniła, że podczas instalowania rozszerzeń należy zachować ostrożność, ponieważ nie wszystkie z nich są bezpieczne w użyciu.
Eksperyment badaczy. Chrome dopuściło rozszerzenie kradnące hasła
Rozszerzenia w Google Chrome są niezwykle przydatne, aczkolwiek znajdą się również takie stanowiące zagrożenie dla danych użytkowników. Wiele z nich może pobierać takie wrażliwe informacje jak adresy e-mail czy numery kont bankowych, co stanowi naruszenie prywatności. Naukowcy z Uniwersytetu Wisconsin-Madison stworzyli potencjalnie przydatne rozszerzenie do przeglądarki Chrome, które w praktyce analizuje kody źródłowe HTML stron internetowych i potrafi kraść hasła zapisane w postaci zwykłego tekstu, i to z niemal każdej witryny. Przy okazji badacze odkryli dwie luki w polach wejściowych pozwalających odkryć hasła zapisane w popularnych serwisach takich jak Gmail, Cloudflare, Facebook, Amazon, Citibank, Capital One.
Badacz przygotowali rozszerzenie, które obnażyło poziom zabezpieczeń i weryfikacji Google. Firma dopuściła do obrotu rozszerzenie, które kradnie hasła.
Widzimy, iż strony oraz usługi mające zapewnić bezpieczeństwo danym użytkowników przechowują hasła w formie tekstu w kodzie źródłowym HTML. Co gorsza, około 12,5 procent rozszerzeń w sklepie internetowym Chrome ma uprawnienia niezbędne do wykorzystania tych luk i obejmuje niektóre z najpopularniejszych programów blokujących reklamy oraz wtyczki zakupowe.
Jakby tego było mało przytoczony procent posiada nieograniczony dostęp do Document Object Model (DOM), w konsekwencji mogą uzyskać dostęp do danych wpisywanych w różne pola, a wszelkie środki bezpieczeństwa stosowane przez dany portal są pomijane. Drzwi pozostają praktycznie otwarte na oścież. Badacze zaproponowali pewne rozwiązania.
Czy istnieje jakieś rozwiązanie?
Po pierwsze, twórcy witryn powinni używać pakietu JavaScript w celu ochrony wrażliwych pól wejściowych, a po drugie, użytkownicy powinni otrzymywać komunikat ostrzegawczy ze swojej przeglądarki za każdym razem, gdy rozszerzenie uzyskuje dostęp do tych pól. Warto zauważyć, że protokół Manifest V3 używany przez większość nowoczesnych przeglądarek ogranicza w pewnym stopniu nadużycia API, uniemożliwiając rozszerzeniom pobieranie kodu hostowanego zdalnie. Narzędzie jest stosowane także w Chrome.
Najciekawsza jest reakcja Google, które po przeanalizowaniu rozszerzenia badaczy udostępniło je w swoim sklepie, stwierdzając, że nie stanowi zagrożenia dla użytkowników przeglądarki internetowej.
Pokaż / Dodaj komentarze do: Rozszerzenia do Google Chrome mogą wykradać hasła z popularnych usług