2023/09/05

Extensões do Chrome podem roubar passwords da Google e Facebook

Apesar das restrições aplicadas às extensões no Chrome, continuam a poder roubar com facilidade passwords, incluindo as de contas Google e Facebook, entre outras.

A Google tem limitado significativamente as capacidades das extensões no Chrome, mas mesmo com as regras do Manifest V3, continua a ser extremamente simples para uma extensão maliciosa roubar as passwords dos utilizadores.

Investigadores da Universidade de Wisconsin-Madison demonstraram isso com uma extensão que rouba as passwords tanto através dos campos de input das mesmas, como - inacreditavelmente - simplesmente copiando-as do código HTML da página, que em muitas plataformas contém a password do utilizador em plaintext! E quando falamos de "muitas" plataformas, estamos a falar de plataformas que se imaginaria terem cuidados ultra-especiais com a segurança, como a Google e Facebook. A extensão também pode recorrer a artimanhas que modificam os campos de input para removerem possíveis codificações que dificultassem a tarefa de obter a password.
Uma análise aos 10 mil sites mais populares da internet revela que cerca de 1100 mantêm a password dos utilizadores em plain text no HTML da página, e muitos outros através dos campos de input. E alguns dos sites serão facilmente reconhecidos pelos utilizadores:
  • gmail.com – plaintext passwords no HTML
  • cloudflare.com – plaintext passwords no HTML
  • facebook.com – passwords extraídas via os campos de input
  • citibank.com – passwords extraídas via os campos de input
  • irs.gov – números de Segurança Social visíveis em plain text no HTML
  • amazon.com – detalhes do cartão de crédito (incluindo o código de segurança) visíveis no código HTML da página
Os investigadores dizem que mais de 17 mil extensões na Chrome Web Store possuem actualmente as permissões necessárias para fazer este tipo de ataque, com forte incidência nas extensões de ad-blockers, que necessitam de ter este tipo de acesso para analisar e bloquear a publicidade indesejada contida nas páginas.

Daí que seja mais que importante passar-se para sistemas que dispensem as passwords - como as passkeys - para que este tipo de problema se torne numa coisa do passado.

Sem comentários:

Enviar um comentário (problemas a comentar?)