Threats

Extensões do Chrome podem roubar palavras-passe de sites

Investigadores da Universidade de Wisconsin-Madison lançaram uma extensão que permite roubar palavras-passe em texto simples como prova de conceito

06/09/2023

Extensões do Chrome podem roubar palavras-passe de sites

Uma equipa de investigadores da Universidade de Wisconsin-Madison colocaram uma extensão na Chrome Web Store como prova de conceito que permite roubar passwords em texto simples a partir do código fonte de um site.

Uma análise aos campos de input dos browsers revelou que vários sites com milhões de visitantes – incluindo alguns portais da Google e da Cloudflare – armazenam palavras-passe em texto simples dentro do código fonte das páginas, que permite a extensão a roubar as mesmas.

Os investigadores explicaram que o problema está na prática sistémica de dar às extensões do browser acesso sem restrições ao DOM dos sites quando estes carregam, o que permite que aceder a elementos potencialmente sensíveis.

Dado a falta de fronteiras entre a extensão e os elementos do site, o site dá acesso sem restrições aos dados visíveis no código fonte, podendo ser retirado daí conteúdos. Adicionalmente, a extensão pode abusar da API DOM para diretamente extrair o valor de inputs à medida que o utilizador entra nela, ultrapassando qualquer ofuscação aplicada pelo site para proteger inputs sensíveis.

Investigação Chrome Extensão Palavras-Passe Browser Password