افزونه‌های کروم می‌توانند گذرواژه‌های شما را در وب‌سایت‌هایی مانند جی‌میل مشاهده کنند!

چهارشنبه 15 شهریور 1402

عکس : افزونه‌های کروم می‌توانند گذرواژه‌های شما را در وب‌سایت‌هایی مانند جی‌میل مشاهده کنند!

گوگل کروم بخش بزرگی از محبوبیت خود را مدیون صدها افزونه‌ای است که عملکرد آن را گسترش داده و حتی مرور را برای کودکان و بزرگسالان ایمن‌تر می کند. با این حال، بسیاری از افزونه‌های کروم یا همان اکستنشن‌ها (extension) می‌توانند محتوای خصوصی، مانند ایمیل‌ها یا جزئیات بانکی را نیز سرقت کنند، که آن‌ها را به یک کابوس بالقوه حفظ حریم خصوصی برای میلیون‌ها کاربر تبدیل می‌کند. اکنون، گروهی از محققان امنیت سایبری ثابت کرده‌اند که مردم باید هنگام نصب اکستنشن‌ها محتاطانه رفتار کنند، زیرا استفاده از همه آن‌ها ایمن نیست.

محققان دانشگاه ویسکانسین یک افزونه کروم ایجاد کرده‌اند که می‌تواند رمزهای عبور متن ساده را از کدهای سورس HTML هر وب‌سایتی بدزدد.

محققان همچنین دو آسیب‌پذیری را در زمینه‌های ورودی کشف کردند، از جمله کشف رمزهای عبور به صورت متن ساده در منبع کد HTML وب‌سایت‌های محبوب، مانند gmail.com. سایر وب سایت‌های معروف که رمزهای عبور را در کد منبع HTML خود ذخیره می کنند عبارتند از کلودفلر، فیسبوک، آمازون، سیتی‌بنک، کپیتال‌وان و … . چیزی که اوضاع را بدتر می‌کند این است که حدود 12/5 درصد از برنامه‌های اکستنشن در فروشگاه وب کروم دارای مجوزهای لازم برای سوءاستفاده از این آسیب‌پذیری‌ها هستند و برخی از محبوب‌ترین مسدودکننده‌های تبلیغات و افزونه‌های خرید را شامل می‌شوند!

اکستنشن‌های مرورگر اغلب دسترسی نامحدودی به درخت DOM سایت‌هایی دارند که در آن‌ها بارگذاری می‌کنند و به طور بالقوه خطری برای حفظ حریم خصوصی برای کاربران ایجاد می‌کند. به این دلیل که DOM API امکان دسترسی به عناصر حساس مانند فیلدهای ورودی کاربر را فراهم می‌کند و در را برای توسعه‌دهندگان بی‌وجدان باز می‌گذارد تا از آن برای استخراج اطلاعات محرمانه وارد شده توسط کاربر سوء استفاده کنند و تمام اقدامات امنیتی به کار گرفته شده توسط سایت را دور بزنند.

برای کاهش خطرات، محققان دو اقدام متقابل پیشنهاد کردند که به اعتقاد آنها خطر دسترسی به اطلاعات خصوصی کاربر توسط منابع غیرمجاز را تا حد زیادی کاهش می‌دهد. اولاً، توسعه دهندگان وب سایت باید از بسته جاوا اسکریپت برای محافظت از فیلدهای ورودی حساس استفاده کنند و ثانیاً، کاربران باید هر بار که یک اکستنشن مرورگر به آن فیلدها دسترسی پیدا می کند، یک پیام هشدار از مرورگر خود دریافت کنند.

شایان ذکر است که پروتکل Manifest V3 مورد استفاده اکثر مرورگرهای مدرن با جلوگیری از واکشی کدهای میزبانی شده از راه دور توسط اکستنشن‌ها، سوء استفاده از API را تا حدی محدود می‌کند. همچنین اقداماتی برای منع استفاده از عبارات eval وجود دارد که می‌توانند برای تزریق کد به صفحات وب به صورت پویا مورد استفاده قرار گیرند، اما محققان معتقدند که این مراحل برای محافظت از اطلاعات حساس کاربر کافی نیست.

ارسال این خبر برای دوستان در شبکه های مجازی :