Браузер Google Chrome получил широкую известность благодаря множеству расширений, которые расширяют его функциональность и обеспечивают безопасность при просмотре. Но не все расширения безопасны.
Группа исследователей в области кибербезопасности из Университета Висконсин-Мэдисон создала концептуальное расширение для Chrome, которое способно извлекать пароли в виде обычного текста из исходного кода HTML практически любого веб-сайта. В их статье, опубликованной на днях, подробно описан анализ безопасности полей для ввода текста в веб-браузерах, который выявил, что “грубая модель разрешений нарушает два принципа безопасности: принцип наименьших привилегий и принцип посредничества”.
Исследователи также обнаружили две уязвимости в полях для ввода, включая обнаружение паролей в открытом виде в исходном коде HTML популярных веб-сайтов, таких как gmail.com. Среди других крупных веб-сайтов, которые также хранят пароли в открытом виде в своем исходном коде HTML, можно назвать Cloudflare, Facebook, Amazon, Citibank, Capital One и другие. Более того, около 12,5% расширений, доступных в магазине Chrome, имеют необходимые разрешения для эксплуатации этих уязвимостей, и в их числе есть самые популярные блокировщики рекламы и дополнения для шопинга.
Как сообщает Bleeping Computer, расширения браузера часто имеют неограниченный доступ к DOM-дереву сайтов, что потенциально создает угрозу конфиденциальности пользователей. Это происходит потому, что DOM API позволяет получить доступ к чувствительным элементам, таким как поля ввода пользователя, открывая дверь для недобросовестных разработчиков, которые могут использовать это для извлечения конфиденциальной информации, введенной пользователем, обходя все меры безопасности, принятые сайтом.
Для снижения рисков и повышения безопасности, исследователи предложили две меры. Во-первых, веб-разработчики должны использовать JavaScript-пакет для защиты чувствительных полей для ввода, и, во-вторых, пользователи должны получать предупреждение от своего браузера каждый раз, когда расширение получает доступ к этим полям.
Следует отметить, что протокол Manifest V3, используемый в большинстве современных браузеров, ограничивает злоупотребление API в некоторой степени, мешая расширениям исполнять код из удаленных источников. Также существуют меры для запрета использования оператора eval, который может использоваться для внедрения кода в веб-страницы. Однако исследователи считают, что эти шаги недостаточно эффективны для защиты конфиденциальных данных пользователей.
