Um estudo da Universidade de Wisconsin-Madison provou que as extensões do Chrome podem roubar senhas de sites, a partir do código-fonte.
Uma equipe de pesquisadores da Universidade de Wisconsin-Madison carregou na Chrome Web Store uma extensão de prova de conceito que pode roubar senhas em texto simples do código-fonte de um site.
Extensões do Chrome podem roubar senhas de sites
Um exame dos campos de entrada de texto em navegadores da web revelou que o modelo de permissão grosseiro que sustenta as extensões do Chrome viola os princípios de privilégio mínimo e mediação completa.
Além disso, os pesquisadores descobriram que vários sites com milhões de visitantes, incluindo alguns portais do Google e Cloudflare, armazenam senhas em texto simples no código-fonte HTML de suas páginas da web, permitindo que extensões as recuperem.
Os pesquisadores explicam que o problema diz respeito à prática sistêmica de dar às extensões do navegador acesso irrestrito à árvore DOM dos sites onde elas carregam, o que permite acessar elementos potencialmente confidenciais, como campos de entrada do usuário.
Dada a falta de qualquer limite de segurança entre a extensão e os elementos de um site, o primeiro tem acesso irrestrito aos dados visíveis no código-fonte e pode extrair qualquer um dos seus conteúdos.
Além disso, a extensão pode abusar da API DOM para extrair diretamente o valor das entradas conforme o usuário as insere, contornando qualquer ofuscação aplicada pelo site para proteger entradas confidenciais e roubando o valor programaticamente.
O protocolo Manifest V3 que o Google Chrome introduziu e adotado pela maioria dos navegadores este ano limita o abuso da API, proíbe extensões de buscar código hospedado remotamente que poderia ajudar a evitar a detecção e evita o uso de instruções eval que levam à execução arbitrária de código.
No entanto, como explicam os investigadores, o Manifest V3 não introduz um limite de segurança entre extensões e páginas web, pelo que o problema com os scripts de conteúdo permanece.
Para testar o processo de revisão da Web Store do Google, os pesquisadores decidiram criar uma extensão do Chrome capaz de ataques de captura de senhas e tentar carregá-la na plataforma.
Os pesquisadores criaram uma extensão que se apresenta como um assistente baseado em GPT que pode:
- Capture o código-fonte HTML quando o usuário tentar fazer login em uma página por meio de uma regex.
- Abuse dos seletores CSS para selecionar campos de entrada de destino e extrair entradas do usuário usando a função ‘.value’.
- Execute a substituição de elementos para substituir campos ofuscados baseados em JS por campos de senha inseguros.
A extensão não contém código malicioso óbvio, portanto evita a detecção estática e não busca código de fontes externas (injeção dinâmica), portanto é compatível com o Manifest V3.
Isso resultou na aprovação da extensão na revisão e na aceitação na Web Store do Google Chrome, de modo que as verificações de segurança não conseguiram detectar a ameaça potencial.
A equipe seguiu padrões éticos para garantir que nenhum dado real fosse coletado ou utilizado indevidamente, desativando o servidor de recebimento de dados e mantendo ativo apenas o servidor de direcionamento de elemento.
Além disso, a extensão foi sempre definida como “não publicada” para que não reunisse muitos downloads e foi prontamente removida da loja após sua aprovação.
Medições subsequentes mostraram que dos 10 mil principais sites (de acordo com Tranco), cerca de 1.100 estão armazenando senhas de usuários em formato de texto simples no HTML DOM.
Outros 7.300 sites do mesmo conjunto foram considerados vulneráveis ao acesso à API DOM e à extração direta do valor de entrada do usuário.
O artigo técnico publicado pelos pesquisadores da Universidade de Wisconsin-Madison no início desta semana afirma que aproximadamente 17.300 extensões na Chrome Web Store (12,5%) protegem as permissões necessárias para extrair informações confidenciais de sites.
Vários deles, incluindo bloqueadores de anúncios e aplicativos de compras amplamente usados, possuem milhões de instalações.
Exemplos notáveis de falta de proteção em sites destacados no relatório incluem:
- gmail.com – senhas de texto simples no código-fonte HTML
- cloudflare.com – senhas de texto simples no código-fonte HTML
- facebook.com – as entradas do usuário podem ser extraídas por meio da API DOM
- citibank.com – as entradas do usuário podem ser extraídas por meio da API DOM
- irs.gov – SSNs são visíveis em formato de texto simples no código-fonte da página da web
- capitalone.com – SSNs são visíveis em formato de texto simples no código-fonte da página da web
- usenix.org – SSNs são visíveis em formato de texto simples no código-fonte da página da web
- amazon.com – detalhes do cartão de crédito (incluindo código de segurança) e CEP são visíveis em texto simples no código-fonte da página
Por fim, a análise mostrou que 190 extensões (algumas com mais de 100 mil downloads) acessam diretamente campos de senha e armazenam valores em uma variável, sugerindo que alguns editores já podem estar tentando explorar a lacuna de segurança.
o site BleepingComputer entrou em contato com as empresas mencionadas para perguntar se planejam remediar os riscos destacados no documento e recebeu as respostas da Amazon e do Google:
“Na Amazon, a segurança do cliente é uma prioridade máxima e tomamos várias medidas para protegê-la. As informações dos clientes inseridas nos sites da Amazon são seguras.”
“Incentivamos os desenvolvedores de navegadores e extensões a usarem as práticas recomendadas de segurança para proteger ainda mais os clientes que usam seus serviços. – Porta-voz da Amazon”
Um porta-voz do Google confirmou que está investigando o assunto e apontou para as Perguntas frequentes sobre segurança de extensões do Chrome, que não consideram o acesso aos campos de senha um problema de segurança, desde que as permissões relevantes sejam obtidas corretamente.
Muito bom amigo, vc tem contribuído muito com os usuários do linux.