Chrome浏览器扩展程序可窃取明文密码

上周，美国威斯康星大学的研究团队对web浏览器文本输入字段的安全性进行了分析，他们发现，能够通过Chrome扩展从网站源代码中窃取明文密码。

浏览器扩展是增强web浏览器功能并改善用户体验的小型应用程序，可用于添加新功能、美化网页内容以及自动化任务。经典的浏览器扩展有：密码管理器、Pocket等生产力工具，以及广告拦截程序等。为实现上述功能，扩展需要访问浏览器资源、API和网页内容，并执行JavaScript代码。

文本输入字段通常用于敏感数据，如用户名、密码、信用卡信息等。鉴于数据的敏感性，确保恶意行为者无法访问输入字段至关重要。如果攻击者能够访问或操纵这些字段中的数据，他们就有可能窃取私人用户信息、冒充用户或是实施欺诈。

该研究团队表示，由于浏览器的粗粒度权限模型，扩展和网页之间缺乏安全边界。这种边界的缺乏允许扩展自由地与HTML元素交互并操作HTML元素，包括HTML输入元素。具体来说，他们发现扩展权限模型违反了两个安全原则：①最小权限；②完全中介。——而这会允许恶意扩展在用户不知情的情况下访问用户敏感信息。

为验证这些漏洞的真实影响，研究人员设计了一个能够进行密码窃取攻击的概念验证Chrome扩展程序，并成功绕过了谷歌的Web Store审查上架。该研究团队的测试表明，这些漏洞在各种网站中普遍存在，即使是谷歌和Cloudflare等高流量网站的HTML源代码中也会暴露出密码等敏感用户信息。他们发现，相当大比例（12.5%）的扩展拥有利用这些漏洞的必要权限，并已识别出190个直接访问密码字段的扩展。

最后，研究团队对此给出了两种解决方案：其一是建议网站开发人员采用其提供的JavaScript包来保护敏感输入字段；其二是浏览器级解决方案，当扩展访问敏感输入字段时提醒用户。

编辑：左右里

资讯来源：arxiv.org

原文始发于微信公众号（看雪学苑）：Chrome浏览器扩展程序可窃取明文密码