Chrome浏览器扩展程序可窃取明文密码

admin 2023年9月5日08:33:17评论4 views字数 810阅读2分42秒阅读模式

上周,美国威斯康星大学的研究团队对web浏览器文本输入字段的安全性进行了分析,他们发现,能够通过Chrome扩展从网站源代码中窃取明文密码。

 

浏览器扩展是增强web浏览器功能并改善用户体验的小型应用程序,可用于添加新功能、美化网页内容以及自动化任务。经典的浏览器扩展有:密码管理器、Pocket等生产力工具,以及广告拦截程序等。为实现上述功能,扩展需要访问浏览器资源、API和网页内容,并执行JavaScript代码。

 

文本输入字段通常用于敏感数据,如用户名、密码、信用卡信息等。鉴于数据的敏感性,确保恶意行为者无法访问输入字段至关重要。如果攻击者能够访问或操纵这些字段中的数据,他们就有可能窃取私人用户信息、冒充用户或是实施欺诈。

 

Chrome浏览器扩展程序可窃取明文密码

 

该研究团队表示,由于浏览器的粗粒度权限模型,扩展和网页之间缺乏安全边界。这种边界的缺乏允许扩展自由地与HTML元素交互并操作HTML元素,包括HTML输入元素。具体来说,他们发现扩展权限模型违反了两个安全原则:①最小权限;②完全中介。——而这会允许恶意扩展在用户不知情的情况下访问用户敏感信息。

 

为验证这些漏洞的真实影响,研究人员设计了一个能够进行密码窃取攻击的概念验证Chrome扩展程序,并成功绕过了谷歌的Web Store审查上架。该研究团队的测试表明,这些漏洞在各种网站中普遍存在,即使是谷歌和Cloudflare等高流量网站的HTML源代码中也会暴露出密码等敏感用户信息。他们发现,相当大比例(12.5%)的扩展拥有利用这些漏洞的必要权限,并已识别出190个直接访问密码字段的扩展。

 

Chrome浏览器扩展程序可窃取明文密码

最后,研究团队对此给出了两种解决方案:其一是建议网站开发人员采用其提供的JavaScript包来保护敏感输入字段;其二是浏览器级解决方案,当扩展访问敏感输入字段时提醒用户。

编辑:左右里

资讯来源:arxiv.org



Chrome浏览器扩展程序可窃取明文密码

原文始发于微信公众号(看雪学苑):Chrome浏览器扩展程序可窃取明文密码

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年9月5日08:33:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Chrome浏览器扩展程序可窃取明文密码http://cn-sec.com/archives/2009441.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息