Chrome, Firefox ve Safari uzantılarının %12,5’i kullanıcılardan hassas bilgiler elde edebiliyor

Geçtiğimiz günlerde bir grup araştırmacı, Chrome, Mozilla ve Safari tarayıcı uzantılarının %12,5’inin web sayfalarından bilgi çıkarmak için gerekli izinlere sahip olduğunu analiz etti.

Bu, Wisconsin-Madison Üniversitesi’ndeki (ABD) araştırmacıların web sitelerindeki düz metin güvenlik açıklarını anlamayı ve ele almayı amaçlayan bir raporundaki en iyi verilerden biridir.

Düz, basit veya düz metin dosyası (“düz metin”) tamamen metinden oluşan, yani yalnızca harflerden oluşan ve kalın, italik veya altı çizili biçimlendirme içermeyen bir dosyadır.

Bu şekilde, HTML kodunu düz metin olarak açarsanız, o sitede belirli bir formatı oluşturan tüm etiketlerle birlikte görüntülenen sayfanın içeriğini bilirsiniz.

Bu araştırmacılar, web sayfalarındaki düz metin dosyalarındaki güvenlik açıklarını analiz etmiş ve Chrome, Mozilla ve Safari tarayıcı uzantılarının yüzde 12,5’inin bu verilere erişebildiğini tespit etmiştir.

Bu, bu raporda açıklandığı gibi 17.300 uzantının şifreler ve erişim kimlik bilgileri gibi hassas bilgileri görüntülemek ve çalmak için gerekli izinlere sahip olduğu anlamına geliyor. Bu, Gmail, Cloudflare, Facebook ve Amazon gibi web sitelerinin bu saldırıları önlemek için yeterli güvenlik önlemlerine sahip olmadığını vurguluyor. Çalınması.

Sorunu ortaya koymak için analistler, kullanıcıların internette gezinirken maruz kaldığı riskleri göstermek amacıyla daha önce yayınlanmamış bir test Chrome uzantısı oluşturdu.

Özellikle, kaynak kodunu yakalayabilen ve kullanıcı girişini çıkarabilen, GPT tabanlı bir sihirbaz gibi görünen sahte bir uzantı oluşturdular. Açıkça zararlı bir kod içermediğinden Google Chrome tarafından kabul edildi ve tarayıcının güvenlik kontrolleri bu uzantıda herhangi bir potansiyel tehdit tespit etmedi.

Bu raporda, tarayıcı uzantılarına, HTML belgelerinin yapısı olan Belge Nesne Modeli (DOM) ağacına sınırsız erişim verme yönündeki sistematik uygulamanın doğasında var olan tehlikelere değindiler.

DOM uygulama programlama arayüzü (API), JavaScript’in bir web sayfasının kaynak kodu öğelerine erişmesine olanak tanır, böylece kullanıcı giriş alanları ve tanımlayıcılar gibi potansiyel olarak hassas öğeleri öğrenebilir.

Dolayısıyla uzantı bir web sayfasına yüklendiğinde hassas giriş alanları da dahil olmak üzere sayfanın tüm öğelerine sınırsız erişime sahip olur ve uzantı ile HTML öğeleri arasında herhangi bir güvenlik sınırı olmadığını vurgular.

Aslında bu makale, uzantıların, kullanıcı tarafından girilen düz metin değerlerini doğrudan çıkarmak için DOM API’lerinden yararlanabileceğini, böylece hassas metin girişlerini korumak için karartmayı ve web engellemeyi önleyebileceğini göstermektedir. Kanıtlanmış.

Araştırmacılar, bu durumda kötü niyetli bir aktörün bu güvenlik açığını kullanarak dinamik kod saldırısı gerçekleştirebileceğine, yani harici bir sunucudan gelen kötü amaçlı kodu kullanıp bunu istenen web sayfasında çalıştırabileceğine inanıyor. Yapabileceğimi hatırladım.

Manifest V3 Şüphe Çözümü

Bu çalışmanın hazırlanmasından sorumlu kişi, Google’ın Chrome uzantı platformu Manifest V3 (MV3) ile gizlilik, güvenlik ve performans düzeyinde değişiklikler getirdiğini de hatırlattı.

Bunun nedeni, MV3’ün, uzantıların uzaktan barındırılan kodu almasını yasaklayarak API kötüye kullanımını sınırlamasıdır. Ancak Manifest V3, uzantılar ve web sayfaları arasında bir güvenlik sınırı getirmediğinden içerik komut dosyası oluşturma sorunu hala devam etmektedir.

Bir yanıt yazın