Rozszerzenia do przeglądarki Google Chrome mogą bez trudu wykraść twoje hasła – alarmują naukowcy z Uniwersytetu Wisconsin-Madison. Sam producent natomiast zdaje się to zagrożenie bagatelizować.
Rozszerzenia do Google Chrome, które skrywają szkodliwy kod, to nic sensacyjnego. Rzecz w tym, że tym razem mowa o zachowaniu w teorii dozwolonym, kompletnie pomijanym przez zabezpieczenia.
W opinii badaczy z Uniwersytetu Wisconsin-Madison, sam Chrome ma wyższe uprawnienia, niż powinien. W efekcie rozszerzenia mogą zaciągać dane wpisywane w polach tekstowych, a więc przede wszystkim hasła, które to spora część stron przechowuje niestety w czystym kodzie HTML.
Eksperci opracowali rozszerzenie manipulujące interfejsem API DOM, czyli najprościej rzecz ujmując, zbiorem obiektów tworzących witrynę. Dzięki temu udało im się wyodrębnić pola tekstowe, w których potencjalna ofiara wpisuje tekst, w tym właśnie swoje hasła.
Trochę paradoksalnie, jak zauważono, okazało się to możliwe mimo wprowadzenia przez Google tzw. Manifestu V3, mającego w zamyśle ograniczać nadużycia API. Specjaliści przekonują, że nowa specyfikacja, choć nakłada na twórców rozszerzeń szereg limitów, właściwego problemu nie rozwiązuje.
Na dowód zespół stworzył rozszerzenie w formacie asystenta ChatGPT. Bez trudu przeszło weryfikację i trafiło do Chrome Web Store. Usunęli je dopiero sami twórcy.
Z przedstawionych statystyk wynika, że kwestia przechowywania haseł w czystym HTML dotyczy około 1 tys. spośród najpopularniejszych stron na świecie. Do tego kolejnych 7,3 tys. pozwala wyodrębnić przez API DOM inne treści, na przykład wpisy użytkowników. Tymczasem stosownymi uprawnieniami dysponuje 1 na 8 wtyczek do Google Chrome. Są wśród nich popularne blokery reklam.
Źródło zdjęć: Evan Lorne / Shutterstock
Źródło tekstu: Materiały prasowe, oprac. własne
