Używasz Google Chrome? Może pomóc wykraść twoje hasła

Google Chrome może pomóc wykradać hasła spreparowanym rozszerzeniom - wynika z ostrzeżenia badaczy z Uniwersytetu Wisconsin-Madison. Jako dowód wgrali do Chrome Web Store własny dodatek do przeglądarki, który pomógł odczytać hasła zapisane czystym tekstem w kodzie strony.

Google Chrome ma nieodpowiedni model uprawnień, przez co spreparowane rozszerzenia do przeglądarki teoretycznie mogą posłużyć jako narzędzia do wykradania haseł z formularzy stron internetowych. Badacze jednego z uniwersytetów pokazali na przykładzie, że jest to możliwe - zwraca uwagę Bleeping Computer. Sami stworzyli fałszywy dodatek do Chrome'a (który bez problemu przeszedł weryfikację i trafił do oficjalnego sklepu), potrafiący skanować kod wyświetlanych witryn i odczytywać hasła z formularzy, w danej chwili obsługiwanych jako "zwykły tekst".

Źródłem problemu ma być nieograniczony dostęp dodatków do stron, który Chrome zapewnia rozszerzeniom niejako "z automatu" po wcześniejszym nadaniu uprawnień dostępu przez użytkownika. Teoretycznie zatem korzystający z Chrome'a najpierw sam nadaje danemu rozszerzeniu uprawnienie dostępu (czym zresztą zasłania się sam Google w odpowiedzi rzecznika na pytania serwisu), ale najprawdopodobniej nie zdaje sobie sprawy z zakresu możliwości, jaki daje to dodatkowi. Od strony technicznej chodzi o możliwość odczytywania przez dodatki zawartości kodu HTML całej witryny z uwagi na brak wyznaczonej granicy bezpieczeństwa między różnymi elementami strony.

Pomijając nieuzasadniony w tym kontekście rozmach opisywanego mechanizmu, wydawać by się mogło, że współczesne strony powinny być zabezpieczone przed podobnymi próbami odczytu danych. Nic bardziej mylnego - badacze odkryli szereg stron przechowujących hasła i inne prywatne dane zapisane "czystym tekstem" w kodzie na etapie obsługi formularzy, wśród nich Gmail, Facebook czy Amazon. Co ciekawe, ten ostatni zdążył już ustosunkować się do sprawy deklarując, że "wprowadzi kilka poprawek", bo bezpieczeństwo klientów jest dla niego najważniejsze.

Dalsza część artykułu pod materiałem wideo

Aby ochronić się przed powyższym mechanizmem i ryzykiem, zanim nie zostanie w jakiś sposób zmieniony przez Google'a, wystarczy stosować jedną zasadę - unikać lub wręcz wykluczyć udzielanie uprawnienia dodatkom, które proszą o możliwość odczytywania lub dostępu do danych stron internetowych. W praktyce bowiem uprawnienia te dają im również dostęp do pól tekstowych formularzy, a to właśnie tutaj pojawia się problem "nieuprawnionego" dostępu do haseł i innych danych użytkownika.