Аддоны Google Chrome могут красть с сайтов пароли в виде простого текста
Главная » Новости
SECURITM — система управления информационной безопасностьюSECURITM — система управления информационной безопасностью. Сократите расходы, автоматизируйте проверку соответствия требованиям и сведите подготовку к аудиту до 2 дней. Единая система для рисков, уязвимостей, активов и комплаенса с AI-ассистентом, конструктором документов, ГОСТ 57580, КИИ, ПДн, ГИС и поддержкой других регуляторных документов.→ Ознакомиться
Реклама. ООО «СЕКЪЮРИТМ». ИНН 7820074059, 16+

Аддоны Google Chrome могут красть с сайтов пароли в виде простого текста

Екатерина Быстрова 04 Сентября 2023 - 09:32
...
Аддоны Google Chrome могут красть с сайтов пароли в виде простого текста

Специалисты Висконсинского университета в Мэдисоне подготовили специальное расширение для браузера Chrome и загрузили его в официальный магазин Chrome Web Store, чтобы доказать возможность кражи паролей в виде простого текста из кода веб-сайтов.

Анализ текстовых полей для ввода в Chrome показал, что модель разрешений допускает нарушение принципа минимальных привилегий со стороны расширений.

Ситуацию усугубляют также практики хранения паролей, которые демонстрируют отдельные веб-ресурсы. Например, на ряде сайтов Google и Cloudflare пароли могут храниться в виде простого текста непосредственно в HTML-коде страниц.

В результате условный установленный аддон Chrome может извлечь аутентификационную информацию.

Как объяснили исследователи, проблема кроется в пагубной практике — давать расширениям неограниченный доступ к дереву DOM сайтов, где они загружаются. Такой подход позволяет авторам аддонов добраться до конфиденциальных данных, которые пользователь вводит в поля.

Фактически условное расширение может воспользоваться API DOM для прямого извлечения значений введённых в поля данных, обходя при этом обфускацию. Протокол Manifest V3, который добавили в Google Chrome, ограничивает использование API, но всё равно не проводит чётких границ между расширениями и веб-страницами.

 

В качестве демонстрационного эксплойта (PoC) эксперты загрузили специальное расширение для Chrome, способное воровать пароли пользователей. В отчёте (PDF) утверждается, что в общей сложности 17 300 аддонов в Chrome Web Store (12,5%) запрашивают разрешение на работу с конфиденциальной информацией.

Помимо этого, специалисты опубликовали список сайтов, на которых отметились проблемы:

  • gmail.com – пароли в виде открытого текста в коде HTML;
  • cloudflare.com – пароли в виде открытого текста в коде HTML;
  • facebook.com (ресурс принадлежит Meta, признанной экстремистской и запрещённой на территории России) – пользовательский ввод можно извлечь с помощью DOM API;
  • citibank.com – пользовательский ввод можно извлечь с помощью DOM API;
  • irs.gov – SSN хранятся в виде открытого текста в коде HTML;
  • capitalone.com – SSN хранятся в виде открытого текста в коде HTML;
  • usenix.org – SSN хранятся в виде открытого текста в коде HTML;
  • amazon.com – данные банковских карт (включая код безопасности) и индекс хранятся в виде открытого текста в коде HTML.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

За восемь месяцев 2025 года в Сеть утекло 13 млрд записей с данными россиян
Татьяна Никитина 24 Сентября 2025 - 15:31
Утечки информацииУмышленные утечки информацииКража данныхСлучайные утечки Общее ГК «Солар»
За восемь месяцев 2025 года в Сеть утекло 13 млрд записей с данными россиян

По данным ГК «Солар», в период с января по август у российских организаций было украдено и слито в паблик около 13 млрд записей с персональными данными — в четыре раза больше, чем в 2024 году (3,5 млрд).

При этом количество утечек в России уменьшилось, возрос лишь общий объем. Эксперты ежедневно фиксируют от двух до пяти таких инцидентов.

В разделении по вертикалям по числу утечек лидируют госсектор, ретейл и e-commerce.

«То, что количество инцидентов стало меньше, а количество строк стало больше, говорит только об одном: уровень угрозы крайне высок, — комментирует новые результаты анализа Александр Вураско, директор по развитию сервиса Solar Aura в «Солар». — Мотивация хакеров изменилась. Если раньше атаковали тех, у кого можно что-то добыть и быстро монетизировать, то сейчас на первом плане хактивизм, поэтому атакуют абсолютно всех».

Напомним, штрафы за утечки персональных данных в России многократно увеличились, соответствующие поправки к КоАП вступили в силу этим летом. При больших масштабах бедствия (пострадало более 100 тыс. субъектов ПДн или более 1 млн идентификаторов) с юрлица могут взыскать до 15 млн рублей.

Ужесточение карательных мер оживило внимание предпринимателей к вопросам ИБ: в стране вырос спрос на системы защиты от утечек (решения класса DLP), а также на аудит информационной безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Coyote — первый вредонос, который шпионит через Windows UI Automation
Новость
Coyote — первый вредонос, который шпионит через Windows UI A...
Positive Technologies запустила антивирусную лабораторию
Новость
Positive Technologies запустила антивирусную лабораторию
Критическая уязвимость в sudo позволяет запустить любую команду как root
Новость
Критическая уязвимость в sudo позволяет запустить любую кома...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.