¡Impactante! Extensión de Chrome roba contraseñas en texto plano desde el código fuente de sitios web

Un equipo de investigadores de la Universidad de Wisconsin-Madison ha desarrollado una extensión de prueba de concepto para Chrome que puede extraer contraseñas en texto sin formato directamente del código fuente de sitios web. Su investigación reveló que el modelo de permisos utilizado por las extensiones de Chrome concede un acceso excesivo, violando los principios de privilegio mínimo y mediación completa. Además, descubrieron que varios sitios web populares, incluidos algunos de Google y Cloudflare, almacenan contraseñas en texto plano en su código fuente HTML, lo que permite que las extensiones las roben.

Los investigadores señalan que el problema radica en la práctica generalizada de otorgar a las extensiones del navegador un acceso ilimitado al árbol DOM de los sitios web en los que se cargan, lo que les permite acceder a elementos potencialmente sensibles, como los campos de entrada del usuario. Esto significa que las extensiones tienen un acceso total a los datos visibles en el código fuente y pueden extraer cualquier contenido de él. Además, estas extensiones pueden abusar de la API DOM para extraer directamente el valor de las entradas de usuario a medida que se ingresan, eludiendo cualquier medida de seguridad aplicada por el sitio para proteger la información confidencial y robando estos valores mediante programación.

A pesar de que Google Chrome introdujo el protocolo Manifest V3 para limitar el abuso de API y restringir el acceso a código remoto que podría eludir la detección, este protocolo no resuelve el problema fundamental de la falta de una barrera de seguridad entre las extensiones y las páginas web, lo que significa que el riesgo de que las extensiones roben datos sigue siendo un problema.

El informe resalta notables ejemplos de sitios web que carecen de protecciones adecuadas, como:

1. gmail.com: Almacena contraseñas en texto plano en su código fuente HTML.
2. cloudflare.com: Almacena contraseñas en texto plano en su código fuente HTML.
3. facebook.com: Permite la extracción de entradas de usuario a través de la API DOM.
4. citibank.com: Permite la extracción de entradas de usuario a través de la API DOM.
5. irs.gov: Los números de Seguro Social (SSN) son visibles en texto plano en el código fuente de la página web.
6. capitalone.com: Los números de Seguro Social (SSN) son visibles en texto plano en el código fuente de la página web.
7. usenix.org: Los números de Seguro Social (SSN) son visibles en texto plano en el código fuente de la página web.
8. amazon.com: Los detalles de la tarjeta de crédito, incluyendo el código de seguridad y el código postal, son visibles en texto sin formato en el código fuente de la página.

fuente: bleepingcomputer