„Chrome“ plėtiniai gali pasiekti svetainės tekstinius slaptažodžius

parašė Ugnius Kiguolis - - 2023-09-08

Kibernetinio saugumo tyrėjai atskleidė „Chrome“ plėtinių spragas

„Chrome“ plėtiniai gali pasiekti svetainės tekstinius slaptažodžius Nauja „Chrome“ saugumo spraga kelia didelį nerimą

Mokslininkų komanda iš Viskonsino-Madisono universiteto įrodė nerimą keliančią koncepciją skaitmeniniame pasaulyje^[1]. Jie atliko rizikingą eksperimentą į „Chrome“ internetinę parduotuvę įkeldami iš pažiūros nekaltą plėtinį, galintį rimtai pažeisti naudotojų privatumą. Jų išradimas turėtų sukelti diskusiją apie „Chrome“ plėtinių saugumą ir rizikingą praktiką saugoti neskelbtinus duomenis atviroje vietoje, slapta vagiant iš svetainių paprasto teksto slaptažodžius.

Kibernetinio saugumo tyrėjai tokiu eksperimentu atskleidė esminę problemą – dabartinį „Chrome“ plėtinių leidimų modelį. Ši problema paveikė daug interneto vartotojų, o tai prieštarauja saugaus tarpininkavimo ir kuo mažesnio kišimosi prie neskelbtinos informacijos idėjoms.

Šio tyrimo rezultatai^[2] turi plataus masto pasekmių, dėl kurių būtina kalbėti apie kritines problemas, susijusias su mūsų visų saugumu naudojantis internetu ir tuo, kiek iš tikrųjų galime pasitikėti skaitmeninėmis technologijomis, prie kurių esame įpratę. Šis novatoriškas tyrimas kviečia toliau gilintis į vidinį naršyklės plėtinių veikimą ir skatina pasisakyti už griežtesnes saugumo priemones, iš naujo įvertinant, kaip privatūs vartotojų duomenys turėtų būti tvarkomi internete.

„Chrome“ leidimų modelis tyrėjams sukėlė rimtą susirūpinimą

Po atidesnės analizės tyrimo grupė sužinojo, kad daugybė svetainių elgiasi itin neatsargiai, įskaitant kai kurias kone visame pasaulyje žinomas svetaines, tokias kaip „Google“ ir „Cloudflare“ portalai. Svetainės saugo slaptažodžius paprastu tekstu savo HTML šaltinio kode. Vien ši praktika kelia rimtą susirūpinimą vartotojų saugumu. O kadangi dabar naršyklės plėtiniams suteikiama neribota prieiga prie svetainės dokumento objekto modelio (DOM), ši problema yra dar rimtesnė.

Bėda ta, kad tarp naršyklės plėtinių ir tinklalapių, su kuriais jie sąveikauja, nėra saugumo barjero. Dėl to plėtiniams labai paprasta pasiekti svetainės šaltinio kodą ir gauti asmeninius duomenis, pvz., nešifruotus slaptažodžius. Be to, plėtiniai gali panaudoti DOM API, kad programiškai surinktų naudotojų įvestis, apeinant bet kokias svetainėje taikomas saugumo priemones.

„Manifest V3“ standartas, kurį „Google“ įdiegė siekdama sumažinti piktnaudžiavimą API ir pagerinti saugumą, šios konkrečios problemos neišsprendė. Nepaisant protokolo apribojimų, tyrėjų komanda sugebėjo sukurti slaptažodžio gavimo plėtinį, kuris lengvai išlaikė „Google“ internetinės parduotuvės peržiūros procesą ir atskleidė reikšmingą sistemos trūkumą.

Dėl netinkamos apsaugos milijonams interneto naudotojų gresia pavojus

Šio pažeidžiamumo mastas yra neįtikėtinai platus. Remiantis vėlesniais matavimais, daugybė svetainių saugo vartotojų prisijungimo duomenis kaip paprastą tekstą arba yra atviros DOM API prieigai. Net 12,5% internetinėje parduotuvėje pasiekiamų „Chrome“ plėtinių turi prieigą prie reikiamų teisių rinkti privačius duomenis iš svetainių. Tai apima ir dažniausiai naudojamus priedus, pvz., apsipirkimo programas ir skelbimų filtrus. Kai kurie iš šių plėtinių skaičiuoja jau milijoninius įdiegimus, tad tai liečia daugybę nieko neįtariančių vartotojų.

Ataskaitoje pabrėžiama keletas gerai žinomų svetainių, kurios yra pažeidžiamos tokio tipo atakų, įskaitant „Gmail“, „Cloudflare“, „Facebook“, „Citibank“, „IRS“, „Capital One“ ir daug kitų. Kai kuriais atvejais HTML šaltinio kode buvo aptikti ne tik paprasti teksto slaptažodžiai, bet ir vartotojo įvedama informacija ir net socialinio draudimo numeriai.

Faktas, kad 190 plėtinių, iš kurių dalis buvo atsisiųsta daugiau nei 100 000 kartų, tiesiogiai pasiekia slaptažodžių laukus ir išsaugo reikšmes kintamuosiuose, kelia didelį susirūpinimą, jog kibernetiniai nusikaltėliai jau dabar stengiasi išnaudoti šią saugos spragą.

Reaguodama į šias išvadas, „Amazon“ dar kartą patvirtino savo atsidavimą vartotojų saugumui ir taip pat paragino kūrėjus laikytis pažangiausios saugumo praktikos. Tuo tarpu „Google“ tiria situaciją ir nukreipė vartotojus į „Chrome“ plėtinių saugos DUK^[3], kuriuose prieiga prie slaptažodžių laukų vis dar laikoma saugia, jei yra suteikti reikalingi leidimai.

Lieka neaišku, ar šie atradimai paskatins plataus masto reformas technologijų sferoje, kurios pagerintų naršyklės plėtinių saugumą ir paskatintų svetaines naudoti saugesnius sprendimus. Tačiau atsižvelgiant į galimą pavojų milijonams interneto vartotojų, yra svarbu kalbėti apie šią problemą ir kuo skubiau imtis reikiamų veiksmų.

Apie autorių

Ugnius Kiguolis - Virusų šalinimo ekspertas

Ugnius Kiguolis yra profesionalus virusų tyrėjas ir tinklalapio Virusai.lt įkūrėjas bei vyriausiasis redaktorius. Ugnius sukūrė Virusai.lt portalą 2004 metais, norėdamas informuoti visuomenę apie kibernetinius nusikaltimus.

Susisiekite su Ugnius Kiguolis
Apie kompaniją Esolutions

Šaltiniai

^ University of Wisconsin–Madison. Wikipedia, the free encyclopedia.
^ Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields. University of Wisconsin – Madison Technical Paper.
^ Extensions Security FAQ. Chromium. Google.