Wisconsin-Madison Üniversitesi'nden bir araştırmacı ekibi, Chrome Web Store'a bir web sitesinin kaynak kodundan düz metin şifrelerini çalabilen bir kavram kanıtı uzantısı yükledi.
Web tarayıcılarındaki metin giriş alanlarının incelenmesi, krom uzantıları destekleyen kaba taneli izin modelinin en az ayrıcalık ve tam arabuluculuk ilkelerini ihlal ettiğini ortaya koymuştur.
Ayrıca, araştırmacılar, bazı Google ve Cloudflare portalları da dahil olmak üzere milyonlarca ziyaretçiye sahip çok sayıda web sitesinin, parolaları web sayfalarının HTML kaynak kodu içinde düz metin olarak sakladığını ve uzantıların bunları almasına izin verdiğini buldular.
Araştırmacılar, sorunun, yükledikleri sitelerin DOM ağacına sınırsız erişim sağlama sistemik uygulamasıyla ilgili olduğunu ve bu da kullanıcı giriş alanları gibi potansiyel olarak hassas öğelere erişmesini sağladığını açıklıyor.
Uzatma ve bir sitenin öğeleri arasında herhangi bir güvenlik sınırının olmaması göz önüne alındığında, birincisi kaynak kodunda görünen verilere sınırsız erişime sahiptir ve içeriğinden herhangi birini çıkarabilir.
Ek olarak, uzantı DOM API'sını, kullanıcı girdikçe girişlerin değerini doğrudan elde etmek için kötüye kullanabilir, hassas girdileri korumak için Site tarafından uygulanan herhangi bir şaşkınlığı atlayabilir ve değeri programlı olarak çalabilir.
Google Chrome'un bu yıl çoğu tarayıcı tarafından tanıttığı ve kabul ettiği açık V3 protokolü API kötüye kullanımını sınırlar, uzaktan barındırılan kod getirilmesini engeller ve bu da tespitten kaçınmaya yardımcı olabilecek ve keyfi kod yürütülmesine yol açan değerlendirme ifadelerinin kullanımını önler.
Ancak, araştırmacıların açıkladığı gibi, Manifest V3 uzantılar ve web sayfaları arasında bir güvenlik sınırı getirmez, bu nedenle içerik komut dosyalarıyla ilgili sorun kalır.
Google'ın web mağazası inceleme sürecini test etmek için, araştırmacılar şifre yakalama saldırıları yapabilen bir krom uzantısı oluşturmaya ve platformda yüklemeye çalışmaya karar verdiler.
Araştırmacılar, GPT tabanlı bir asistan olarak poz veren bir uzantı oluşturabilir:
Uzantı belirgin kötü amaçlı kod içermez, bu nedenle statik algılamadan kaçınır ve harici kaynaklardan (dinamik enjeksiyon) kod getirmez, bu nedenle V3 uyumludur.
Bu, incelemeyi geçip Google Chrome'un web mağazasında kabul edilmesine yol açtı, böylece güvenlik kontrolleri potansiyel tehdidi yakalayamadı.
Ekip, gerçek verilerin toplanmamasını veya kötüye kullanılmamasını sağlamak için etik standartları izleyerek veri alma sunucusunu devre dışı bırakırken, yalnızca öğe hedefleme sunucusunu aktif tutar.
Ayrıca, uzatma her zaman "yayınlanmamış" olarak ayarlandı, böylece çok fazla indirme toplamayacak ve onaylandıktan sonra mağazadan derhal kaldırıldı.
Sonraki ölçümler, ilk 10K web sitelerinden (Tranco'ya göre), kabaca 1.100'ün HTML DOM içinde düz metin formunda kullanıcı şifrelerini sakladığını gösterdi.
Aynı setten 7.300 web sitesi, DOM API erişimi ve kullanıcının giriş değerinin doğrudan çıkarılmasına karşı savunmasız kabul edildi.
Wisconsin-Madison Üniversitesi'ndeki araştırmacılar, bu haftanın başlarında yayınlanan teknik makale, Chrome Web Mağazasında (%12.5) yaklaşık 17.300 uzantının web sitelerinden hassas bilgileri çıkarmak için gerekli izinleri güvence altına aldığını iddia ediyor.
Yaygın olarak kullanılan reklam engelleyicileri ve alışveriş uygulamaları da dahil olmak üzere bunların birçoğu milyonlarca kurulumla övünüyor.
Raporda vurgulanan koruma eksikliğine ilişkin dikkate değer web sitesi şunları içerir:
Son olarak, analiz 190 uzantının (bazıları 100K'dan fazla indirme içeren) şifre alanlarına ve değerleri bir değişkende doğrudan eriştiğini gösterdi, bu da bazı yayıncıların zaten güvenlik açığından yararlanmaya çalışabileceğini düşündürdü.
BleepingComputer, makalede vurgulanan riskleri düzeltmeyi planlayıp planlamadıklarını sormak için söz konusu şirketlere ulaştı ve şimdiye kadar Amazon ve Google'dan yanıtlar aldık:
Amazon'da müşteri güvenliği en önemli önceliktir ve onu korumak için birkaç adım atarız. Amazon web sitelerine girilen müşteri bilgileri güvenlidir.
Tarayıcı ve genişletme geliştiricilerini, müşterileri hizmetlerini kullanarak daha da korumak için güvenlik en iyi uygulamalarını kullanmaya teşvik ediyoruz. - Amazon Sözcüsü
Bir Google sözcüsü, konuyu incelediklerini doğruladı ve ilgili izinler uygun şekilde elde edildiği sürece Chrome'un şifre alanlarına erişimi bir güvenlik sorununu dikkate almayan Güvenlik SSS'ye işaret etti.
Chrome kötü amaçlı yazılım Rilide, PowerPoint kılavuzları aracılığıyla kurumsal kullanıcıları hedefler
Hacker'ların sömürmeyi sevdiği dört yaygın şifre hatası
Google Chrome, yüklü uzantılar kötü amaçlı yazılımdır
Parola güvenliğinin güçlendirilmesi siber sigorta primlerini düşürebilir
WordPress AIOS eklentisi, 1m Siteler Kayıtlı düz metin şifreleri tarafından kullanılır
Kaynak: Bleeping Computer