Пароли можно украсть через расширения Chrome

Исследователи Висконсинского университета в Мадисоне (США) предупредили об опасностях использования ряда расширений для браузера Google Chrome. Специалисты вуза разработали собственный плагин, способный красть пароли, и успешно зарегистрировали его в Chrome Web Store, подтвердив уязвимости браузера. 

Специалисты отметили, что уязвимости расширений возникают из-за модели разрешений браузера: она предоставляет ряду аддонов доступ к DOM-дереву сайтов. Эта модель не устанавливает жестких границ между элементами сайта и расширениями, которые получают доступ к конфиденциальной информации, например, паролям. Поэтому, создавая такие плагины, хакеры могут красть данные фактически в онлайн-режиме и доставать те же пароли из исходного кода сайтов. 

Чтобы продемонстрировать уязвимость, специалисты университета разработали собственное расширение, якобы работающее на базе GPT для помощи пользователям. Плагин может извлекать информацию из полей ввода, менять их на уязвимые, захватывать исходный код HTML при заходе на сайт. Расширение не содержало вредоносного кода, поэтому прошло модерацию и попало в Chrome Web Store, иными словами, если бы на месте ученых были мошенники, они смогли бы украсть пароли тысяч пользователей. 

В своем исследовании специалисты университета отметили, что доступ к конфиденциальной информации имеют 17 300 плагинов (12,5% от общего числа в магазине). При этом из десяти тысяч самых популярных сайтов около 10% хранят пароли в открытом доступе, что делает их уязвимыми. Сюда в том числе попали Gmail, Cloudflare и Amazon. 

В Google и Amazon заявили, что ознакомились с проблемой и уже предпринимают меры по их ликвидации.