Поскольку браузер Google Chrome на компьютерах является самым популярным, сторонние разработчики создаются больше всего расширений именно для него. Подобная популярность привлекает и мошенников, которые пытаются украсть персональные данные, электронные письма, логины и пароли. Специалисты по кибербезопасности показали, что от многих расширений лучше держаться подальше.
Исследование было проведено в университете Висконсин-Мэдисон. Там создали экспериментальное расширение для Chrome, которое может красть пароли, хранящиеся в виде простого текста, получая их из HTML-кода почти любого сайта. Специалисты доказывают, что модель разрешений браузеров не отвечает двум принципам безопасности, а именно минимальным привилегиям и полному посредничеству.
Заодно специалисты нашли сразу две уязвимости в полях ввода данных, в том числе пароли в HTML-коде сайтов вроде gmail.com, Cloudflare, Facebook, Amazon, Citibank, Capital One. Примерно у каждого восьмого расширения из магазина Chrome есть разрешения для получения доступа к этим данным.
Bleeping Computer пишет, что в расширениях браузеров нередко встречается неограниченный доступ к дереву DOM сайтов, из-за чего конфиденциальность пользователей находится под угрозой. DOM API открывает доступ к полям ввода данных, поэтому разработчики могут получать оттуда информацию, обходя меры безопасности на сайтах.
Исследователи предлагают разработчикам сайтов применять JavaScript для защиты конфиденциальных полей ввода данных. Также пользователи должны видеть предупреждение от браузеров, когда расширение получает доступ к полям с данными.
Протокол Manifest V3 в составе большинства современных браузеров не даёт расширениям доступа к размещённому удалённо коду. Есть и другие меры защиты, но исследователи считают их недостаточными, пишет Techspot.