Google Chrome veliki dio svoje popularnosti duguje stotinama ekstenzija, koja proširuju njegovu funkcionalnost i čak čine pregled sadržaja bezbjednijim za djecu i odrasle. Međutim, mnoge ekstenzije takođe mogu da se umiješaju u privatni sadržaj, poput e-pošte ili bankovnih podataka, što ih čini potencijalnom noćnom morom za privatnost miliona korisnika.
Sada je grupa istraživača sajber bezbjednosti dokazala da ljudi moraju biti obazrivi kada instaliraju ekstenzije jer nijesu sve bezbjedne za upotrebu.
Istraživači sa Univerziteta Viskonsin-Medison kreirali su Chrome ekstenziju s dokazom koncepta koja je sposobna da ukrade otvorene lozinke iz HTML izvornih kodova gotovo svih veb stranica. Rad koji su istraživači objavili prošle nedjelje detaljno opisuje da je sveobuhvatna analiza bezbjednosti polja za unos teksta u veb pregledačima otkrila da njihov “model grubih dopuštenja krši dva načela bezbjednosnog dizajna: najmanje privilegije i potpuno posredovanje”.
Istraživači su takođe otkrili dve ranjivosti u poljima za unos, uključujući otkrivanje lozinki u otvorenom tekstu unutar HTML izvora koda popularnih veb stranica, kao što je gmail.com. Druge velike veb stranice, koje takođe čuvaju otvorene lozinke unutar svog HTML izvornog koda, uključuju Cloudflare, Facebook, Amazon, Citibank, Capital One i druge.
Ono što situaciju čini još gorom je to što oko 12,5 procenata ekstenzija u Chrome veb prodavnici posjeduje potrebne dozvole za iskorišćavanje ovih ranjivosti, a uključuju neke od najpopularnijih blokera oglasa i dodataka za kupovinu.
Kako je objavio Bleeping Computer, ekstenzije za pregledače često imaju neograničen pristup DOM stablu veb stranica na koje se učitavaju, što potencijalno predstavlja opasnost za privatnost korisnika.
To je zato što DOM API dopušta pristup osjetljivim elementima kao što su korisnička polja za unos, ostavljajući otvorena vrata za beskrupulozne programere da ga zloupotrebe kako bi izvukli povjerljive informacije koje je unio korisnik, zaobilazeći sve bezbjednosne mjere koje primjenjuje stranica.