17 подписчиков
Расширения для Chrome могут воровать пароли из исходного кода сайтов 🥷
Такие расширения имеют неограниченный доступ к DOM-дереву сайтов, что позволяет получить доступ к полям, куда пользователи вводят свои данные (например, пароли или коды банковских карт).
Эксперты утверждают, что около 17 300 расширений в Chrome Web Store (12,5% от общего числа) могут извлекать эти данные.
При этом из 10 000 самых посещаемых сайтов в интернете (по версии Tranco) примерно 1100 хранят пароли пользователей в виде простого текста, используя HTML DOM. Ещё 7300 сайтов были признаны уязвимыми для доступа к DOM API и прямого извлечения user input.
Также анализ показал 190 расширений (некоторые загружены более 100 000 раз), которые напрямую получают доступ к полям ввода паролей и сохраняют значения в переменной. Это наводит на мысли, что некоторые уже пытаются использовать уязвимость.
Будьте осторожнее, устанавливая новые расширения ⚔️
Около минуты
10 сентября 2023