Chrome浏览器扩展程序可窃取明文密码

发布者:Editor
发布于:2023-09-05 18:18

上周,美国威斯康星大学的研究团队对web浏览器文本输入字段的安全性进行了分析,他们发现,能够通过Chrome扩展从网站源代码中窃取明文密码。


浏览器扩展是增强web浏览器功能并改善用户体验的小型应用程序,可用于添加新功能、美化网页内容以及自动化任务。经典的浏览器扩展有:密码管理器、Pocket等生产力工具,以及广告拦截程序等。为实现上述功能,扩展需要访问浏览器资源、API和网页内容,并执行JavaScript代码。


文本输入字段通常用于敏感数据,如用户名、密码、信用卡信息等。鉴于数据的敏感性,确保恶意行为者无法访问输入字段至关重要。如果攻击者能够访问或操纵这些字段中的数据,他们就有可能窃取私人用户信息、冒充用户或是实施欺诈。



该研究团队表示,由于浏览器的粗粒度权限模型,扩展和网页之间缺乏安全边界。这种边界的缺乏允许扩展自由地与HTML元素交互并操作HTML元素,包括HTML输入元素。具体来说,他们发现扩展权限模型违反了两个安全原则:最小权限;完全中介。——而这会允许恶意扩展在用户不知情的情况下访问用户敏感信息。


为验证这些漏洞的真实影响,研究人员设计了一个能够进行密码窃取攻击的概念验证Chrome扩展程序,并成功绕过了谷歌的Web Store审查上架。该研究团队的测试表明,这些漏洞在各种网站中普遍存在,即使是谷歌和Cloudflare等高流量网站的HTML源代码中也会暴露出密码等敏感用户信息。他们发现,相当大比例(12.5%)的扩展拥有利用这些漏洞的必要权限,并已识别出190个直接访问密码字段的扩展。



最后,研究团队对此给出了两种解决方案:其一是建议网站开发人员采用其提供的JavaScript包来保护敏感输入字段;其二是浏览器级解决方案,当扩展访问敏感输入字段时提醒用户。



编辑:左右里

资讯来源:arxiv.org

转载请注明出处和本文链接


声明:该文观点仅代表作者本人,转载请注明来自看雪