Chrome-extensies kunnen uw wachtwoorden stelen en Google staat dit toe

Onderzoekers hebben ontdekt dat Chrome-extensies wachtwoorden in platte tekst kunnen stelen, en Google staat dit ondanks zichzelf toe. Meer dan duizend populaire websites slaan wachtwoorden op in platte tekst, wat betekent dat 17.300 extensies potentieel gevaarlijk zijn!

Google Chrome wordt in de loop van de tijd rijker. Vooral de browser introduceerde de Safari-functie, maar tegenwoordig is elk ander onderwerp een grotere zorg. Onderzoekers van de Universiteit van Wisconsin-Madison hebben een extensie ontwikkeld voor het stelen van platte-tekstwachtwoorden. het ergste ? De Mountain View Corporation staat dit toe, mogelijk zonder hun medeweten.

Lezen > Chrome 115: leesmodus, RAM-besparing, wat is er nieuw?

De onderzoekers wisten het Manifest V3-protocol te omzeilen

Volgens de onderzoekers is Chrome heeft meer rechten dan zou moeten. Dit betekent dat extensies items kunnen ophalen die zijn ingevoerd in tekstinvoervelden. Veel populaire websites slaan de wachtwoorden van hun gebruikers op in platte tekst in de HTML-code van hun pagina’s. Bijlagen kunnen het zien.

Onderzoekers hebben een extensie ontwikkeld die de DOM API verwerkt Om de tekst uit het locatie-invoerveld te halen terwijl het slachtoffer aan het typen is. Dat is wat je zou verwachten, waarbij beveiligingsmaatregelen volledig worden omzeild om gevoelige zaken zoals wachtwoorden te verdoezelen.

Google heeft echter Manifest v3 gelanceerd, dat API-misbruik moet verminderen. Maar volgens de onderzoekers biedt dit protocol geen bescherming tussen extensies en websites: Contentscripts blijven kwetsbaar.

Om deze fout op te sporen, ontwikkelden de onderzoekers een extensie in ChatGPT-helperformaat zonder kwaadaardige code, en dus compatibel met Manifest V3. Google accepteerde het en voegde het vervolgens toe aan zijn winkel. Natuurlijk werd het onmiddellijk door de onderzoekers verwijderd en niemand heeft het gedownload!

Lees verder > Google Chrome: deze zeer populaire extensies verbergen malware en verwijderen deze snel!

7.300 websites zijn kwetsbaar voor wachtwoorddiefstal

Volgens onderzoekers slaan meer dan duizend populaire websites over de hele wereld wachtwoorden in platte tekst op in HTML-broncode. Nog eens 7.300 sites zijn kwetsbaar voor toegang tot de DOM API, die directe extractie van gegevens mogelijk maakt. Ongeveer 17.300 Chrome-browserextensies, oftewel 12,5%, kunnen deze gevoelige informatie op legitieme wijze extraheren via de door Google verleende toestemmingen. Er zijn ook adblockers in de mix, dit zijn populaire add-ons die YouTube probeert te blokkeren.

Het valt nog te hopen dat Google op de hoogte is van deze ontdekking. En het lost deze zeer ernstige bug op.