Un team di ricercatori dell’Università di Wisconsin-Madison ha sviluppato un’estensione chiamata “proof-of-concept”, con l’intento di dimostrare una tesi. Questa estensione è in grado di rubare password in chiaro dal codice sorgente di un sito web ed è stata pubblicata sul Chrome Web Store.
L’analisi condotta sui campi di input dei browser web ha rivelato che il modello di permessi delle estensioni di Chrome viola i principi di privilegio minimo. Inoltre, i ricercatori hanno scoperto che numerosi siti web, tra cui alcuni portali di Google e Cloudflare, conservano le password in chiaro nel codice sorgente HTML delle loro pagine, rendendole facilmente recuperabili da queste estensioni.
I ricercatori spiegano che il problema risiede nella pratica sistemica di concedere alle estensioni del browser un accesso illimitato all’albero DOM dei siti su cui operano, consentendo l’accesso a elementi potenzialmente sensibili come i campi di input di testo immessi dagli utenti. Questo significa che, in assenza di confini di sicurezza tra l’estensione e gli elementi del sito, la prima ha accesso illimitato ai dati visibili nel codice sorgente e può estrarre qualsiasi contenuto.
Inoltre, l’estensione può abusare dell’API DOM per estrarre direttamente il valore degli input man mano che l’utente li inserisce, eludendo qualsiasi oscuramento applicato dal sito per proteggere gli input sensibili. In pratica, l’estensione è in grado di rubare i dati in modo programmatico, analizzando l’input in tempo reale.
Nonostante il protocollo Manifest V3 introdotto da Google Chrome, che limita gli abusi delle API e vieta l’uso di istruzioni “eval” che portano all’esecuzione di codice arbitrario, non offre un sistema di sicurezza tra le estensioni e le pagine web. Questo significa che il problema con gli script di contenuto permane.
Per verificare la loro scoperta, i ricercatori hanno creato un’estensione Chrome che è in grado di eseguire attacchi di furto di password. Questa estensione è stata caricata sulla piattaforma e, grazie all’assenza di codice malevolo evidente, è facilmente passata inosservata alla rilevazione statica, risultando conforme ai controlli di Manifest V3.
Una volta dimostrata questa importante falla, i ricercatori hanno scoperto che tra i primi 10.000 siti web (secondo Tranco), circa 1.100 di essi conservano le password degli utenti in forma di testo in chiaro all’interno del DOM HTML. Inoltre, altri 7.300 siti web sono considerati vulnerabili all’accesso all’API DOM e all’estrazione diretta del valore di input dell’utente.
Tra le aziende menzionate nel rapporto dei ricercatori troviamo Gmail, Cloudflare, Facebook, Citibank, IRS, Capital One, Usenix e Amazon. Queste aziende risultano tutte potenzialmente vulnerabili a questo tipo di attacco. Inoltre, l’analisi ha evidenziato che 190 estensioni, alcune delle quali con oltre 100.000 download, accedono direttamente ai campi password e conservano i valori in una variabile, suggerendo che alcuni sviluppatori potrebbero già sfruttare questa falla di sicurezza.
Le aziende coinvolte, come Amazon e Google, stanno esaminando la questione e valutando le misure necessarie per mitigare i rischi evidenziati nel rapporto. Tuttavia, al momento è consigliato prestare attenzione a questo problema.
Tutte le estensioni di Chrome possono rubare le password
Un team di ricercatori dell’Università di Wisconsin-Madison ha creato un’estensione per il Chrome Web Store che può rubare password in chiaro dal codice sorgente di un sito web. Hanno scoperto che numerosi siti, inclusi alcuni di Google e Cloudflare, mantengono le password in chiaro nel loro codice sorgente HTML, consentendo alle estensioni di accedervi. Questo è dovuto alla pratica di concedere alle estensioni del browser un accesso illimitato ai siti su cui operano. Inoltre, l’estensione può utilizzare l’API DOM per estrarre i valori degli input man mano che l’utente li inserisce. Sebbene il protocollo Manifest V3 di Google Chrome limiti gli abusi delle API, non offre una sicurezza tra le estensioni e le pagine web. I ricercatori hanno creato un’estensione di Chrome per eseguire attacchi di furto di password e hanno dimostrato che molti siti conservano le password in chiaro nel codice HTML. Le aziende come Gmail, Cloudflare e Amazon sono state identificate come vulnerabili a questa falla di sicurezza. Al momento, queste aziende stanno esaminando il problema e prendendo le misure necessarie per mitigare i rischi.
