Аддоны Google Chrome могут красть с сайтов пароли в виде простого текста
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Аддоны Google Chrome могут красть с сайтов пароли в виде простого текста

Екатерина Быстрова 04 Сентября 2023 - 09:32
...
Аддоны Google Chrome могут красть с сайтов пароли в виде простого текста

Специалисты Висконсинского университета в Мэдисоне подготовили специальное расширение для браузера Chrome и загрузили его в официальный магазин Chrome Web Store, чтобы доказать возможность кражи паролей в виде простого текста из кода веб-сайтов.

Анализ текстовых полей для ввода в Chrome показал, что модель разрешений допускает нарушение принципа минимальных привилегий со стороны расширений.

Ситуацию усугубляют также практики хранения паролей, которые демонстрируют отдельные веб-ресурсы. Например, на ряде сайтов Google и Cloudflare пароли могут храниться в виде простого текста непосредственно в HTML-коде страниц.

В результате условный установленный аддон Chrome может извлечь аутентификационную информацию.

Как объяснили исследователи, проблема кроется в пагубной практике — давать расширениям неограниченный доступ к дереву DOM сайтов, где они загружаются. Такой подход позволяет авторам аддонов добраться до конфиденциальных данных, которые пользователь вводит в поля.

Фактически условное расширение может воспользоваться API DOM для прямого извлечения значений введённых в поля данных, обходя при этом обфускацию. Протокол Manifest V3, который добавили в Google Chrome, ограничивает использование API, но всё равно не проводит чётких границ между расширениями и веб-страницами.

 

В качестве демонстрационного эксплойта (PoC) эксперты загрузили специальное расширение для Chrome, способное воровать пароли пользователей. В отчёте (PDF) утверждается, что в общей сложности 17 300 аддонов в Chrome Web Store (12,5%) запрашивают разрешение на работу с конфиденциальной информацией.

Помимо этого, специалисты опубликовали список сайтов, на которых отметились проблемы:

  • gmail.com – пароли в виде открытого текста в коде HTML;
  • cloudflare.com – пароли в виде открытого текста в коде HTML;
  • facebook.com (ресурс принадлежит Meta, признанной экстремистской и запрещённой на территории России) – пользовательский ввод можно извлечь с помощью DOM API;
  • citibank.com – пользовательский ввод можно извлечь с помощью DOM API;
  • irs.gov – SSN хранятся в виде открытого текста в коде HTML;
  • capitalone.com – SSN хранятся в виде открытого текста в коде HTML;
  • usenix.org – SSN хранятся в виде открытого текста в коде HTML;
  • amazon.com – данные банковских карт (включая код безопасности) и индекс хранятся в виде открытого текста в коде HTML.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ЦБ пояснил: переводы себе не тронут, проверять будут свыше 200 тыс. ₽
Екатерина Быстрова 12 Ноября 2025 - 21:15
Соответствие законодательству РФ Домашние пользователиГосударство Защита от мошенничестваБезопасность платежей
ЦБ пояснил: переводы себе не тронут, проверять будут свыше 200 тыс. ₽

Банк России уточнил, что проверки на признаки мошенничества затронут не переводы самому себе через Систему быстрых платежей (СБП), а следующие за ними операции — когда клиент переводит деньги другому человеку, которому не отправлял средств минимум полгода.

Разъяснение появилось в официальном сообществе ЦБ во «ВКонтакте» после того, как слова главы департамента информационной безопасности Вадима Уварова вызвали бурное обсуждение.

Ранее он заявил, что крупные переводы самому себе по СБП могут стать признаком мошеннических операций.

В пресс-службе регулятора уточнили: речь идёт только о переводах свыше 200 тысяч рублей, и проверяться будут именно последующие переводы условно «незнакомым» людям, если им не отправлялись деньги в течение полугода.

«Таким образом, проверяться будет не перевод самому себе, а именно последующий перевод другому человеку», — подчеркнули в ЦБ.

По словам Уварова, такие схемы активно используют мошенники: они убеждают человека сначала перевести деньги себе по СБП, а потом направить их на «безопасный счёт».

ЦБ готовит новый приказ с расширенным перечнем признаков подозрительных операций — документ планируют опубликовать в ближайшее время. Предыдущий перечень был обновлён летом 2024 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В Staffcop 5.7 появилось распознавание аудио и почтовый граббер
Новость
В Staffcop 5.7 появилось распознавание аудио и почтовый граб...
LNK Stomping: ярлыки .lnk обходят MoTW и защиту Windows
Новость
LNK Stomping: ярлыки .lnk обходят MoTW и защиту Windows
Kaspersky представила систему защиты транспорта от кибератак
Новость
Kaspersky представила систему защиты транспорта от кибератак

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.