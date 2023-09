Scoperta una falla di sicurezza su Chrome, che permetterebbe alle estensioni di memorizzare le password in chiaro. Un gruppo di ricercatori dell’Università di Wisconsin-Madison ha effettuato un esperimento, caricando sul Chrome Web Store un plugin di prova capace di rubare le password degli utenti dal codice sorgente della pagina. Purtroppo, sono molte le estensioni Chrome in grado di fare ciò. Il problema sarebbe da ricercare nel modello di autorizzazioni del browser.

Diverse estensioni Chrome potenzialmente minacciose

L’estensione Chrome creata ricercatori statunitensi è chiamata “proof-of.concept” ed è una sorta di assistente basato su ChatGPT. Questa è riuscita facilmente a rubare le password degli utenti dal codice sorgente delle pagine web. Google Chrome concede a tutte le estensioni l’accesso illimitato all’albero DOM dei siti web con cui hanno a che fare. Ciò permette loro di accedere anche ai dati sensibili degli utenti.

Un esempio sono le informazioni dei campi username e password, che possono essere visualizzate dall’estensione anche nel momento in cui l’utente le inserisce. L’app dei ricercatori ha inoltre eluso i controlli del protocollo Manifest V3 (che limita l’abuso delle API da parte di plugin), poiché non conteneva codice malevolo. Questo protocollo, inoltre, non introducendo un controllo di sicurezza tra le estensioni Chrome e le pagine web, non è in grado di risolvere il problema.

Lo studio ha inoltre mostrato che 17.300 estensioni presenti nel Chrome Web Store (il 12,5% del totale) hanno le autorizzazioni per poter ottenere informazioni sensibili. Inoltre, su 10.000 siti web analizzati, 1.100 salvano le password in chiaro nella struttura HTML, mentre altri 7.300 sono stati ritenuti vulnerabili.

Nel primo gruppo sarebbero presenti piattaforme come Gmail e Cloudflare, mentre al secondo gruppo appartengono piattaforme come Facebook. Il problema è quindi molto serio. Per fortuna Google ha già fatto sapere che si è già messo al lavoro per risolvere la situazione e migliorare la sicurezza degli utenti.