Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Татьяна Никитина 04 Февраля 2026 - 21:18

...

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий:

144.0.7559.97 (Stable)
145.0.7632.18 (Beta)
146.0.7647.4 (Dev)
146.0.7653.0 (Canary)

В Google подтвердили возможность подобной атаки по стороннему каналу, но заявили, что решить проблему нереально.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Июня 2026 - 20:00

Домашние пользователи Корпорации Услуги по информационной безопасности Positive Technologies

Positive Education запускает программу для CISO нового уровня

Центр практического обучения Positive Education объявил о запуске новой программы для директоров по информационной безопасности. Курс «CISO 3.0: управление на уровне бизнеса» рассчитан на руководителей, которым уже недостаточно разбираться только в технологиях защиты — теперь от них ждут понимания бизнеса, финансов и стратегии.

Поводом для появления программы стали результаты совместного исследования Positive Education, SuperJob и консалтинговой компании the Edgers.

Оно показало, что лишь 25% генеральных директоров высоко оценивают компетенции своих CISO. Главные претензии — слабые управленческие навыки и недостаточное понимание бизнес-процессов. В результате вопросы кибербезопасности нередко остаются вне стратегической повестки компании.

Организаторы отмечают, что большинство существующих программ для CISO по-прежнему сосредоточены на нормативных требованиях и технических аспектах защиты. Однако рынок всё чаще требует другого: умения говорить с руководством на языке бизнеса, оценивать киберриски в денежном выражении и аргументированно обосновывать инвестиции в безопасность.

Программа состоит из трёх модулей, посвящённых стратегии кибербезопасности, бизнес-мышлению и управлению изменениями. Помимо лекций участников ждут практические задания, дискуссии с приглашёнными экспертами и работа над собственным проектом. В финале каждый должен будет защитить стратегию кибербезопасности своей организации перед отраслевыми экспертами.

Среди заявленных спикеров — сооснователь Positive Technologies и фонда «Сайберус» Юрий Максимов, бизнес-консультант Алексей Лукацкий, независимый директор Наталья Воеводина, а также специалисты в области финансового управления и организационных изменений.

Очная программа стартует 11 сентября в Москве и продлится восемь недель. Она ориентирована на действующих руководителей ИБ и CIO, которым необходимо встроить вопросы кибербезопасности в систему управления компанией, а не только в работу ИТ-подразделения.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!