A Google tem limitado significativamente as capacidades das extensões no Chrome, mas mesmo com as regras do Manifest V3, continua a ser extremamente simples para uma extensão maliciosa roubar as passwords dos utilizadores.
Investigadores da Universidade de Wisconsin-Madison demonstraram isso com uma extensão que rouba as passwords tanto através dos campos de input das mesmas, como - inacreditavelmente - simplesmente copiando-as do código HTML da página, que em muitas plataformas contém a password do utilizador em plaintext! E quando falamos de "muitas" plataformas, estamos a falar de plataformas que se imaginaria terem cuidados ultra-especiais com a segurança, como a Google e Facebook. A extensão também pode recorrer a artimanhas que modificam os campos de input para removerem possíveis codificações que dificultassem a tarefa de obter a password.
- gmail.com – plaintext passwords no HTML
- cloudflare.com – plaintext passwords no HTML
- facebook.com – passwords extraídas via os campos de input
- citibank.com – passwords extraídas via os campos de input
- irs.gov – números de Segurança Social visíveis em plain text no HTML
- amazon.com – detalhes do cartão de crédito (incluindo o código de segurança) visíveis no código HTML da página
Daí que seja mais que importante passar-se para sistemas que dispensem as passwords - como as passkeys - para que este tipo de problema se torne numa coisa do passado.
Sem comentários:
Enviar um comentário (problemas a comentar?)