12,5% от разширенията на Chrome, Firefox и Safari могат да извличат чувствителна информация от потребителите

Група изследователи наскоро анализираха, че 12,5% от разширенията на браузърите Chrome, Mozilla и Safari имат необходимите разрешения за извличане на информация от уеб страници.

Това е една от най-добрите данни от доклад на изследователи от Университета на Уисконсин-Медисън (САЩ), който има за цел да разбере и адресира уязвимостите в сигурността на обикновения текст в уебсайтовете.

Обикновен, прост или обикновен текстов файл („обикновен текст“) е файл, който се състои изцяло от текст, т.е. файл, който се състои само от букви и не съдържа форматиране с получер шрифт, курсив или подчертаване.

По този начин, ако отворите HTML кода в обикновен текст, ще знаете съдържанието на страницата, показано с всички тагове, изобразяващи определен формат на този сайт.

Тези изследователи анализираха уязвимостите в сигурността на обикновени текстови файлове на уеб страници и установиха, че 12,5 процента от разширенията на браузърите Chrome, Mozilla и Safari имат достъп до тези данни.

Това означава, че 17 300 разширения имат необходимите разрешения за преглед и кражба на чувствителна информация като пароли и идентификационни данни за достъп, както е описано в този отчет. Това подчертава как уебсайтове като Gmail, Cloudflare, Facebook и Amazon не са имали адекватни мерки за сигурност, за да предотвратят тези атаки. кражба.

За да демонстрират проблема, анализаторите създадоха непубликувано преди това тестово разширение за Chrome, за да покажат рисковете, на които са изложени потребителите, докато сърфират.

По-конкретно, те създадоха фалшиво разширение, маскирано като съветник, базиран на GPT, който всъщност можеше да улови изходния код и да извлече въведеното от потребителя. Тъй като не съдържа очевиден злонамерен код, той беше приет от Google Chrome и проверките за сигурност на браузъра не откриха потенциални заплахи в това разширение.

От този доклад те се позоваха на опасностите, присъщи на систематичната практика да се дава неограничен достъп на разширенията на браузъра до така нареченото дърво на обектния модел на документа (DOM), структурата на HTML документите.

Интерфейсът за приложно програмиране на DOM (API) позволява на JavaScript достъп до елементите на изходния код на уеб страница, така че да може да научи потенциално чувствителни елементи като полета за въвеждане от потребителя и идентификатори.

Следователно, когато разширението се зареди на уеб страница, то има неограничен достъп до всички елементи на страницата, включително чувствителни полета за въвеждане, и подчертава, че няма граница за сигурност между разширението и HTML елементите.

Всъщност този документ показва, че разширенията могат да използват DOM API за директно извличане на въведени от потребителя обикновени текстови стойности, като по този начин се избягва обфускацията и уеб блокирането, за да се защитят чувствителни текстови записи. Доказано.

Изследователите смятат, че в този случай злонамерен играч може да използва тази уязвимост, за да извърши атака с динамичен код, тоест да използва злонамерен код от външен сървър и да го изпълни на желаната уеб страница. Сетих се, че мога.

Манифест V3 Решение за съмнение

Лицето, отговорно за подготовката на това проучване, също припомни, че с Manifest V3 (MV3), платформата за разширения на Chrome, Google въведе промени на ниво поверителност, сигурност и производителност.

Това е така, защото MV3 ограничава злоупотребата с API, като забранява на разширенията да извличат отдалечено хостван код. Въпреки това, тъй като Manifest V3 не въвежда граница на сигурността между разширенията и уеб страниците, проблемът със скриптовете за съдържание все още остава.

Вашият коментар