Chrome nie widzi nic złego w rozszerzeniach kradnących hasła

Piotr MalinowskiSkomentuj
Chrome nie widzi nic złego w rozszerzeniach kradnących hasła

Naukowcy postanowili sprawdzić skuteczność systemów bezpieczeństwa przeglądarki Chrome. Stworzyli więc specjalne rozszerzenie pozwalające na wykradanie haseł z kodów źródłowych praktycznie każdej strony internetowej. Zostało ono zaakceptowane i badacze otrzymali zgodę na publikację narzędzia w oficjalnym sklepie. Jak więc widać, nie prezentuje się to wszystko zbyt dobrze.

Chrome musi poprawić swoje systemy bezpieczeństwa

Chrome Web Store to zasadniczo bardzo ciekawe miejsce. Znaleźć tam można mnóstwo interesujących dodatków wzbogacających program o nowe funkcje czy udogodnienia. Warto podkreślić, iż ta usługa działa ze wszystkimi przeglądarkami działającymi na silniku Chromium. Nic więc dziwnego, że użytkownicy chętnie sięgają po przeróżne rozszerzenia. Niestety – część z nich może zbierać wrażliwe dane bez wiedzy klientów.

Grupa amerykańskich badaczy z University of Wisconsin-Madison udowodniła właśnie, że warto być rozsądnym podczas instalowania jakichkolwiek wtyczek. Nie wszystkie z nich mogą okazać się dobre dla nas czy naszego komputera. Zdecydowano się na stworzenie potencjalnie przydatnego rozszerzenia, które w praktyce jest zdolne do analizowania kodów źródłowych HTML witryn i wykradania z nich tekstowych haseł. Google po analizie stwierdziło, że wszystko jest okej i dopuściło narzędzie do obrotu.

Źródło: arxiv.org

Opublikowano obszerny artykuł naukowy, gdzie możemy znaleźć szczegółowy opis wszystkich procedur oraz naruszeń istotnych zasad bezpieczeństwa. Badacze odkryli przy okazji dwie luki w polach wejściowych, co tak naprawdę otworzyło furtkę do odkrycia haseł na łamach popularnych witryn internetowych.

Czy niebezpieczeństwo jest aż tak olbrzymie?

Okazuje się, że Gmail, Cloudflare, Facebook czy Amazon przechowują hasła w postaci zwykłego teksu w kodzie źródłowym HTML. Sprawa zrobi się poważniejsza w momencie, gdy uświadomimy sobie, że około 12,5 procent rozszerzeń w Chrome Web Store posiada wszystkie niezbędne uprawnienia do wykorzystania wyżej wspomnianych luk bezpieczeństwa. Mowa tu nawet o najpopularniejszych blokerach reklam.

Źródło: arxiv.org

Brzmi nieciekawie, prawda? Oliwy do ognia dodaje fakt, że większość z tych dodatków ma nieograniczony dostęp do Document Object Model (DOM), przez co są w stanie uzyskać dostęp do wrażliwych elementów wprowadzanych przez użytkowników w różne pola. Pomijane zostają wtedy wszystkie środki bezpieczeństwa stosowane przez witrynę. Programiści mają więc wolną rękę i swobodę jeśli chodzi o zarządzanie danymi klientów.

Okej, czy jest na to jakieś rozwiązanie? Naukowcy sugerują twórcom stron internetowych używanie pakietu JavaScript do ochrony pól tekstowych narażonych na niebezpieczeństwo. Powinien zostać także wdrożony specjalny komunikat wyświetlany konsumentom w momencie wykrycia, że dane rozszerzenie jest w stanie uzyskać dostęp do wyżej wspomnianych pól.

Źródło: arxiv.org

Pomaga też protokół Manifest V3 stosowany już przez większość nowoczesnych przeglądarek, w tym Chrome. Dzięki wykorzystanym tam zabezpieczeniom, właściciele rozszerzeń nie mają aż tak łatwego wglądu w hostowany zdalnie kod witryny.

Dane użytkowników są więc na niemalże wyciągnięcie ręki i pozostaje mieć nadzieję, że wkrótce się to zmieni. Byłoby naprawdę miło.

Źródło: TechSpot, arxiv.org / Zdjęcie otwierające: pixabay.com (@geralt)

Udostępnij

Piotr MalinowskiDziennikarz z pasji i wykształcenia. Jest związany z popularnymi serwisami branżowymi, gdzie od siedmiu lat publikuje treści o nowych technologiach, gamingu oraz „ludziach internetu”. Fascynuje go wpływ influencer marketingu na społeczeństwo oraz szeroko pojęte przyczyny i skutki nierówności społecznych. Prywatnie fan powieści/filmów grozy, gier studia Piranha Bytes, podcastów kryminalnych, dobrej kawy oraz rowerowych wycieczek.