Sommario
Un team di ricercatori dell’Università del Wisconsin-Madison ha rivelato che le estensioni di Chrome possono sottrarre password in chiaro dal codice sorgente dei siti web. Questa scoperta solleva preoccupazioni sulla sicurezza delle informazioni sensibili degli utenti.
Il problema alla base
I ricercatori hanno identificato che molte estensioni di Chrome hanno accesso illimitato all’albero DOM dei siti web che caricano. Questo permette loro di accedere a elementi potenzialmente sensibili, come i campi di input degli utenti. A causa della mancanza di una barriera di sicurezza tra l’estensione e gli elementi del sito, le estensioni possono accedere ai dati visibili nel codice sorgente e potenzialmente estrarre qualsiasi contenuto.
Testare il processo di revisione del Web Store di Google
Per verificare la sicurezza del processo di revisione del Web Store di Google, i ricercatori hanno creato un’estensione di Chrome in grado di effettuare attacchi di cattura delle password e hanno tentato di caricarla sulla piattaforma. Sorprendentemente, l’estensione è stata approvata e accettata nel Web Store di Google Chrome, dimostrando che i controlli di sicurezza non hanno identificato la potenziale minaccia.
Potenziale per lo sfruttamento
Dalle misurazioni effettuate, si è scoperto che circa 1.100 dei primi 10.000 siti web (secondo Tranco) conservano le password degli utenti in formato testo all’interno del DOM HTML. Altri 7.300 siti web dello stesso set sono vulnerabili all’accesso all’API DOM e all’estrazione diretta del valore di input dell’utente. Inoltre, circa 17.300 estensioni nel Chrome Web Store (12,5%) ottengono le autorizzazioni necessarie per estrarre informazioni sensibili dai siti web. Alcune di queste estensioni, tra cui popolari ad-blocker e applicazioni di shopping, vantano milioni di installazioni.
Risposta delle aziende
BleepingComputer ha contattato alcune delle aziende menzionate per chiedere se hanno intenzione di rimediare ai rischi evidenziati nel documento. Amazon ha risposto sottolineando che la sicurezza del cliente è una priorità e che le informazioni inserite nei siti web di Amazon sono sicure. Un portavoce di Google ha confermato che stanno esaminando la questione.
