Rozšíření prohlížeče Chrome mohou krást hesla, Google to neřeší

Zpět na blog

Odborníci varují, že lze prostřednictvím rozšíření pro Google Chrome krást hesla ve formátu prostého textu.

Výzkumníci z University of Wisconsin-Madison nedávno nahráli do internetového obchodu Chrome PoC, který ukazuje, že hesla uživatelů lze získat ze zdrojového kódu webové stránky.

Při zkoumání textových vstupních polí webových prohlížečů výzkumníci zjistili, že prohlížeč Chrome má větší oprávnění, než by měl mít, a to kvůli hrubému modelu oprávnění, který používá. To umožňuje rozšířením získávat údaje z těchto polí.

Krádež prostého textu

Aby toho nebylo málo, výzkumníci zjistili, že populární webové stránky s miliony návštěvníků – včetně například Gmailu, Facebooku a Amazonu – ukládají uživatelská hesla v prostém textu v kódu HTML svých stránek, což umožňuje rozšířením zjistit, jaká jsou.

Výzkumníci uvedli, že rozšíření mají běžně neomezený přístup ke stromům DOM webových stránek, což jim umožňuje zjistit obsah textových vstupních polí a zdrojový kód stránky, přičemž mezi rozšířením a kódem webové stránky není žádný mantinel, který by tomu zabránil.

Rozšíření prohlížeče může také manipulovat s rozhraním DOM API a získávat text ze vstupního pole webové stránky v průběhu psaní, čímž obejde veškeré pokusy webové stránky o zabezpečení citlivého textu, jako jsou hesla.

Přestože společnost Google nedávno spustila protokol Manifest V3 pro rozšíření Chrome, který má omezit zneužití rozhraní API, zabránit spuštění libovolného kódu a zabránit rozšířením používat vzdálený kód, aby se vyhnula detekci, výzkumníci tvrdí, že nenabízí ochranu mezi rozšířeními a webovými stránkami, takže skripty s obsahem jsou stále zranitelné.

Aby výzkumníci zjistili, zda rozšíření projde kontrolním procesem společnosti Google, rozhodli se nahrát své rozšíření do webového obchodu Chrome. Protože neobsahuje škodlivý kód ani nečerpá kód z externích zdrojů, je v souladu s Manifestem V3. Společnost Google proto povolila jeho nahrání do svého obchodu. Výzkumníci však ve skutečnosti neukradli žádná uživatelská data. Rozšíření také ponechali jako nezveřejněné a z obchodu jej odstranili krátce po schválení.

Výzkumníci tvrdí, že více než tisíc nejpopulárnějších webových stránek na světě ukládá uživatelská hesla v prostém textu ve svém zdrojovém kódu HTML a dalších 7 300 stránek je zranitelných přístupem k rozhraní DOM API, což umožňuje přímé získávání uživatelských vstupů.

Dále uvedli, že zhruba 17 300 (12,5 %) rozšíření pro Chrome může tento druh citlivých informací získávat legitimně prostřednictvím oprávnění, která jim udělil Google. Mnohá z nich mají miliony instalací a patří mezi ně populární blokátory reklam a nákupní aplikace.

Zdroj ilustrační fotografie: Nathana Rebouças on Unsplash

Zdroj: Techradar.com

13. 9. 2023