已经开发了针对Google Chrome的恶意扩展,专家警告可以以明文格式窃取密码。
威斯康星大学麦迪逊分校的研究人员最近将概念验证验证到Chrome网络商店,以显示用户的密码可以从网站的源代码中提取。
在检查Web浏览器的文本输入字段时,研究人员发现,由于其使用的粗粒度许可模型,Chrome具有比应有的特权。这允许扩展可以从这些字段中检索数据。
你可能喜欢
恶意的“多态”镀铬扩展可以模仿其他工具来欺骗受害者
数百万的Google Chrome用户可能会受到这些狡猾的扩展的风险
Google Chrome可能很快使用AI使您获得更好的密码
纯文本窃取
为了使问题更加复杂,研究人员发现,在包括Gmail,Facebook和Amazon在内的访问者中流行的网站列举了几个 - 将用户密码存储在其页面的HTML代码中,使得扩展可以看到它们是什么。
研究人员说,扩展程序通常会不受限制地访问网站的DOM树,这使他们可以确定文本输入字段的内容和页面的源代码,并且在扩展名与网站代码之间没有缓冲区以防止此设置。
研究人员的扩展还可以操纵DOM API,以在受害者打字时从网站上的输入字段中提取文本,从而绕开网站上的任何安全性尝试以混淆敏感文本(如密码)。
即使Google最近推出了用于Chrome扩展的清单V3协议,该协议应该限制对API的滥用,防止任意代码执行并停止扩展程序使用远程代码避免检测,但研究人员声称它不提供扩展程序和网页之间的保护,因此内容脚本仍然很容易受到影响。
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有首选,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间。
为了查看扩展名是否可以通过Google的审核过程,研究人员决定在ChatGpt助手的指南下将其扩展名上传到Chrome网络商店。
由于它不包含恶意代码或从外部来源检索代码,因此它符合清单V3。因此,Google允许将其上传到其商店。但是,研究人员实际上并未窃取任何用户数据。他们还将扩展名留在了未发表的情况下,并在批准后不久将其从商店中删除。
研究人员声称,超过一千个世界上最受欢迎的网站将用户密码存储在其HTML源代码中,另外7300个站点容易受到DOM API访问的影响,从而可以直接提取用户输入。
他们还说,大约有17,300(12.5%)的镀铬扩展可以通过Google授予的权限来合法提取这种敏感信息。许多人有数百万个安装程序,包括流行的广告阻滞剂和购物应用程序。
Techradar Pro的更多信息
这是最好的密码管理器选项,如果您是安装这些恶意的Google Chrome Extensions的数百万的恶意Google Chrome扩展名,已删除了7500万个安装,请删除,立即删除它们
