Chrome 擴展程序可以從網站竊取明文密碼

威斯康星大學麥迪遜分校的一組研究人員已將一個概念驗證擴展上傳到 Chrome 網上應用店，該擴展可以從網站的源代碼中竊取純文本密碼。

對網絡瀏覽器中文本輸入字段的檢查表明，支持 Chrome 擴展的粗粒度權限模型違反了最小權限和完全中介的原則。

此外，研究人員發現，許多擁有數百萬訪問者的網站（包括一些 Google 和 Cloudflare 門戶）在其網頁的 HTML 源代碼中以明文形式存儲密碼，允許擴展程序檢索它們。

問題根源

研究人員解釋說，該問題涉及允許瀏覽器擴展不受限制地訪問其加載的網站的 DOM 樹的系統實踐，這允許訪問潛在的敏感元素，例如用戶輸入字段。

鑒于擴展程序和站點元素之間缺乏任何安全邊界，前者可以不受限制地訪問源代碼中可見的數據，并且可以提取其任何內容。

此外，該擴展程序可能會濫用 DOM API 在用戶輸入輸入時直接提取輸入值，繞過網站為保護敏感輸入而應用的任何混淆，并以編程方式竊取該值。

Google Chrome 推出并于今年被大多數瀏覽器采用的 Manifest V3 協議限制了 API 濫用，禁止擴展程序獲取有助于逃避檢測的遠程托管代碼，并防止使用導致任意代碼執行的 eval語句。

然而，正如研究人員所解釋的那樣，Manifest V3 并沒有在擴展程序和網頁之間引入安全邊界，因此內容腳本的問題仍然存在。

擴展程序和網站之間可滲透的安全邊界

在網上應用店上傳 PoC

為了測試 Google 的 Web Store 審核流程，研究人員決定創建一個能夠進行密碼竊取攻擊的 Chrome 擴展程序，并嘗試將其上傳到該平臺上。

研究人員創建了一個冒充基于 GPT 的助手的擴展，它可以：

提取字段內容（左）和執行元素替換（右）的代碼

該擴展不包含明顯的惡意代碼，因此它可以逃避靜態檢測，并且不會從外部源獲取代碼（動態注入），因此它符合 Manifest V3 標準。

這導致該擴展程序通過了審核并被 Google Chrome 的網上應用店接受，因此安全檢查未能發現潛在威脅。

該團隊遵循道德標準，以確保沒有收集或濫用實際數據，停用數據接收服務器，同時僅保持元素定位服務器處于活動狀態。

此外，該擴展程序始終被設置為“未發布”，這樣它就不會收集大量下載，并在獲得批準后立即從商店中刪除。

開發潛力

隨后的測量顯示，在排名前 10,000 的網站中（根據 Tranco），大約有 1,100 個網站在 HTML DOM 中以純文本形式存儲用戶密碼。

同一組中的另外 7,300 個網站被認為容易受到 DOM API 訪問和直接提取用戶輸入值的影響。

高流量網站容易受到攻擊

威斯康星大學麥迪遜分校的研究人員本周早些時候發表的技術論文聲稱，Chrome Web Store 中大約 17,300 個擴展程序 (12.5%) 獲得了從網站提取敏感信息所需的權限。

其中一些應用程序，包括廣泛使用的廣告攔截器和購物應用程序，擁有數百萬的安裝量。

報告中強調的缺乏保護的著名網站示例包括：

Gmail 和 Facebook 容易受到用戶輸入檢索的影響

最后，分析顯示 190 個擴展程序（其中一些擴展程序的下載量超過 10 萬次）直接訪問密碼字段并將值存儲在變量中，這表明一些發布商可能已經在嘗試利用該安全漏洞。

BleepingComputer 聯系了上述公司，詢問他們是否計劃補救論文中強調的風險，到目前為止，我們已收到亞馬遜和谷歌的回復：

在亞馬遜，客戶安全是重中之重，我們采取了多項措施來保護它。輸入亞馬遜網站的客戶信息是安全的。

我們鼓勵瀏覽器和擴展程序開發人員使用安全最佳實踐來進一步保護使用其服務的客戶。- 亞馬遜發言人

谷歌發言人已證實他們正在調查此事，并指出 Chrome 的擴展程序安全常見問題解答，只要正確獲得相關權限，就不會將訪問密碼字段視為安全問題。