Útočníci vám môžu z Chromu kradnúť prihlasovacie údaje: Vedci ukázali metódu, ako na to. Ide to šialene jednoducho!
Množstvo stránok ukladá do HTML zdrojového kódu heslá ako čistý text. Rozšírenia majú k nemu neobmedzený prístup.
Výskumníci z University of Wisconsin-Madison v rámci novej štúdie vytvorili špeciálne rozšírenie pre prehliadače Chrome, ktoré dokáže kradnúť heslá uložené ako čistý text v zdrojovom kóde stránky. Toto rozšírenie sa im podarilo nahrať do obchodu Chrome Web Store, informuje BleepingComputer.
Zároveň vedci týmto experimentom odhalili, že viacero webstránok s miliónmi návštev vrátane portálov Google a Cloudflare, ukladá heslá ako čistý text v HTML zdrojovom kóde stránky. Táto bezpečnostná medzera umožnila škodlivému rozšíreniu získať heslá.
Výskumníci vysvetľujú, že najväčšou chybou je to, že rozšírenia v prehliadači majú úplný prístup k DOM stromu (pozn. Redakcie: Document Object Model) a teda aj prístup k potenciálne citlivým prvkom, napríklad textovým poliam, kde užívateľ zadáva svoje údaje. V podstate neexistuje žiadna bezpečnostná hranica medzi rozšírením a prvkami stránky, teda rozšírenie má prístup k dátam v zdrojovom kóde a z neho si môže zobrať akúkoľvek informáciu.
Rozšírenie môže zneužiť DOM rozhranie a získať informácie, ktoré užívateľ práve zadáva do textového poľa. Autori štúdie však poukazujú na to, že protokol Manifest V3, ktorý Google Chrome predstavil tento rok a už si ho adaptovala väčšina prehliadačov, limituje možnosti, akými môže škodlivé rozšírenie narábať s rozhraním DOM. Zabraňuje napríklad rozšíreniu získať prístup ku kódu, ktorý sa ukladá vzdialene. Zároveň ale tento protokol neprináša žiadnu formu hranice medzi rozšíreniami a stránkami, čiže podvodníci môžu túto slabinu stále zneužívať.
Testovanie obchodu s rozšíreniami
Výskumníci chceli v rámci svojej práce zistiť aj to, či sa im podarí nahrať rozšírenie do Chrome Web Store. V tomto kroku zisťovali, aké je zabezpečenie platformy a proces recenzie nových rozšírení. Výskumníci v tomto smere vytvorili rozšírenie maskujúce sa za ChatGPT asistenta. Toto rozšírenie však pomimo dokázalo zachytiť HTML zdrojový kód v momente, keď sa užívateľ pokúšal prihlásiť na stránku.
Neprehliadnite
Zároveň dokázalo toto rozšírenie napadnúť CSS selektory, vybrať si textové okná a vytiahnuť z nich to, čo do nich užívateľ vložil. Nakoniec dokázalo rozšírenie vykonať substitúciu elementu, aby nahradilo polia založené na JavaScripte tak, že zakryté polia nahradilo tými nezabezpečenými. Keďže toto rozšírenie nemalo zjavný škodlivý kód a nepokúšalo sa získať kód z externých zdrojov, prešlo statickou detekciou malvéru a zároveň súhlasilo s protokolom Manifest V3.
Znamená to, že rozšírenie prešlo detekciou a dostalo sa do obchodu s rozšíreniami. Autori upozorňujú že bezpečnostné kontroly nevideli škodlivosť rozšírenia. Výskumníci teda dostali škodlivé rozšírenie do obchodu, no zároveň sa držali etických štandardov. Znamená to, že server na zbieranie dát nefungoval, čiže neunikli žiadne dáta užívateľov. Zároveň ho skryli, aby ho nestiahlo veľa užívateľov a zakrátko ho z obchodu aj stiahli.
Ďalší výskum odhalil, že z 10-tisíc najpopulárnejších stránok približne 1100 ukladá heslá ako čistý text v zdrojovom kóde. Ďalších 7300 bolo vyhodnotených ako zraniteľné na tento typ útoku. Medzi zraniteľnými stránkami sa objavil aj Gmail, Facebook alebo Amazon.
Komentáre