Chrome扩展可从网站窃取明文密码

研究人员发现谷歌、Cloudflare等老牌网站的网页HTML源码中都以明文形式保存密码,恶意扩展可从中提取明文密码。威斯康星大学麦迪逊分校研究人员在Chrome应用商店上传了恶意扩展PoC,成功从网站源码中窃取明文密码。

为都兰等地区用户提供了全套网页设计制作服务,及都兰网站建设行业解决方案。主营业务为网站设计制作、网站设计、都兰网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!

问题产生的根源

由于Chrome扩展和网站元素之间缺乏安全边界,浏览器扩展对网站源码中的数据具有无限制的访问权限,因此有机会从中提取任意内容。此外,Chrome浏览器扩展可能滥用DOM API直接提取用户输入的值,绕过网站使用的混淆技术来保护用户敏感输入。

谷歌Chrome引入的Manifest V3协议被许多浏览器采用,限制了API滥用,防止浏览器扩展提取远程保存的代码,防止使用eval来实现任意代码执行。研究人员分析发现Manifest V3并未在扩展和web页面之间引入安全边界。

图 扩展和网站之间的安全边界

上传PoC到Chrome扩展商店

为测试谷歌的Chrome扩展商店审查过程,研究人员创建了一个可以发起密码窃取攻击的Chrome扩展,并将该扩展上传到平台。该扩展的功能是一个基于GPT的助手,可以:

· 获取用户登录页面的HTML源码;

· 滥用CSS选择器来选择目标输入字段,使用.value函数提取用户输入;

· 通过元素替换使用不安全的密码字段来替换基于JS的混淆字段;

图 提取字段内的代码(左)和执行元素替换(右)

该扩展并不包含明显的恶意代码,因此可以绕过静态检测,并且不会从外部源提取代码,所以是支持Manifest V3的。因此,该扩展通过了审查,并被应用商店上架。

漏洞利用

随后的实验数据发现,前1万个网站中有1100个在HTML DOM中明文保存了用户密码。其他7300个网站也易受到DOM API访问和用户数据直接提取攻击。

图 受影响的网站

一些老牌网站缺乏安全保护的网站包括:

  • gmail.com – HTML源码中明文保存密码
  • cloudflare.com –HTML源码中明文保存密码
  • facebook.com – 通过DOM API提取用户输入
  • citibank.com –通过DOM API提取用户输入
  • irs.gov – 网页源码中明文保存SSNs
  • capitalone.com –网页源码中明文保存SSNs
  • usenix.org –网页源码中明文保存SSNs
  • amazon.com – 页面源码明文保存信用卡信息和邮政编码

图 Gmail和Facebook也受到用户输入提取攻击影响

研究发现有190个扩展可以直接访问密码字段,并保存了字段的内容,表明有开发者可能已经利用了该安全漏洞。

厂商回应

Amazon称,客户安全非常重要,将采取措施对用户输入进行保护,输入亚马逊网站的用户信息是安全的。此外,鼓励浏览器和扩展开发者使用亚马逊提供的服务采用安全最佳实践来保护用户数据。谷歌发言人称将开始调查这一问题。但Chrome扩展的安全问答并不认为访问密码字段是安全问题。

论文下载地址:https://arxiv.org/abs/2308.16321

本文翻译自:https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/如若转载,请注明原文地址

当前名称:Chrome扩展可从网站窃取明文密码
新闻来源:http://www.stwzsj.com/qtweb/news11/10661.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联