Google Chrome: 研究者らによると、すべての拡張機能がパスワードを盗む可能性がある

米国の学者らが、Chrome の緩い権限システムを悪用してユーザーのパスワードや機密データを盗むことができる、Chrome 用の偽の ChatGPT 拡張機能を設計しました。この概念実証は、すべてのブラウザ拡張機能がこの欠陥を悪用する可能性があることを証明しています。

google https
クレジット: Google

ウィスコンシン大学マディソン校の研究者は、拡張機能 Chromeそしてそれを Chrome ウェブストアにアップロードして、ブラウザの設計上の欠陥を強調するGoogleから。現在、拡張機能に付与されるアクセス許可のシステムは、世界で最も人気のあるブラウザこれにより、サイバー犯罪者はユーザーの資格情報やその他の機密情報をソース コードから直接プレーン テキストで盗むことができます。

読むには —この恐るべき AI は、キーボードの音を聞くだけでパスワードを推測します。

この結論に到達するために、コンピューター科学者は偽の理論を作成しました。拡張機能ChatGPTChrome の場合、実際には「訪問者が [サインイン] ボタンをクリックしたときに Web ページの HTML コードをキャプチャします。」この瞬間、拡張機能はページの HTML ソース コードをコピーします。」と入力し、フォームに入力されたパスワードを正規表現で抽出します。

Chrome 拡張機能は Google の許可を得てパスワードを盗むことができます

これらの学者によると、Chrome 拡張機能に付与されている権限が緩すぎるため、ハッカーがユーザーのパスワードをコード内で直接盗むソース、または DOM プログラミング インターフェイスを通じて。彼らによると、190 の拡張機能があり、その中には 10 万回以上ダウンロードされたものもあり、すでにセキュリティ上の欠陥を悪用しようとしています。

読むには —この AI はほとんどのパスワードを 1 分以内に解読できます。自分自身を守る方法は次のとおりです。

したがって、何十億ものインターネット ユーザーが影響を受けることになります。140,000 件の内線番号の 12.5%ウェブストアの Chrome は、デザイナーがパスワードや人気サイトを盗むことができる権限を取得しました。たとえば、Gmail や Amazon では、訪問者の機密データが平文で表示されます。ソースコード内で。

ソース :ピーピーコンピュータ