Un team di ricercatori dell'Università di Wisconsin-Madison ha caricato sul Chrome Web Store un'estensione "proof-of.concept" (ovvero pensata per dimostrare una tesi) capace di rubare password, in chiaro, dal codice sorgente di un sito web.
Un'analisi dei campi di input del testo nei browser web, ha rivelato che il modello di permessi, alla base delle estensioni di Chrome, viola i principi di privilegio minimo. Inoltre, i ricercatori, hanno scoperto che numerosi siti web con milioni di visitatori, tra cui alcuni portali di Google e Cloudflare, conservano le password in chiaro nel codice sorgente HTML delle loro pagine web, consentendo a queste estensioni di poterle recuperare.
I ricercatori spiegano che il problema riguarda la pratica sistemica di concedere alle estensioni del browser un accesso illimitato all'albero DOM dei siti su cui operano, consentendo l'accesso a elementi potenzialmente sensibili come i campi di input di testo immessi dall'utente. Data l'assenza di qualsiasi confine di sicurezza tra l'estensione e gli elementi del sito, la prima ha accesso illimitato ai dati visibili nel codice sorgente e può estrarre, di conseguenza, qualsiasi contenuto.
Inoltre, l'estensione, può abusare dell'API DOM per estrarre direttamente il valore degli input man mano che l'utente li inserisce, eludendo qualsiasi oscuramento applicato dal sito per proteggere gli input sensibili e letteralmente rubando i dati in modo programmatico, ovvero analizzando l'input in tempo reale e analizzandolo cronologicamente.
Per quanto il protocollo Manifest V3 introdotto da Google Chrome, e adottato dalla maggior parte dei browser, limita gli abusi delle API, vieta alle estensioni di recuperare codice ospitato in remoto e impedisce l'uso di istruzioni "eval", che portano all'esecuzione di codice arbitrario, come illustrato dai ricercatori, Manifest V3 non offre un sistema di sicurezza tra le estensioni e le pagine web, quindi il problema con gli script di contenuto permane.
Per testare la loro scoperta, i ricercatori hanno creato un'estensione Chrome in grado di eseguire attacchi di furto di password e l'hanno caricata sulla piattaforma. L'estensione è stata creata sotto mentite spoglie, fingendo di essere un assistente basato su GPT in grado di:
- Catturare il codice sorgente HTML quando l'utente cerca di effettuare il login su una pagina mediante una regex.
- Abusare dei selettori CSS per selezionare i campi di input mirati ed estrarre gli input dell'utente utilizzando la funzione '.value'.
- Eseguire una sostituzione degli elementi per sostituire i campi obfuscanti basati su JavaScript con campi password non sicuri.
L'estensione, non contenendo codice malevolo evidente, ha facilmente eluso la rilevazione statica, risultando conforme ai controlli di Manifest V3.
Una volta dimostrata questa importante falla, i ricercatori hanno mostrato che tra i primi 10.000 siti web (secondo Tranco), circa 1.100 di questi conservano le password degli utenti, in forma di testo in chiaro, all'interno del DOM HTML. Altri 7.300 siti web dello stesso insieme, inoltre, sono stati considerati vulnerabili all'accesso all'API DOM e all'estrazione diretta del valore di input dell'utente.
Le aziende menzionate nel rapporto dei ricercatori includono Gmail, Cloudflare, Facebook, Citibank, IRS, Capital One, Usenix, e Amazon, le quali risultano tutte potenzialmente vulnerabili a un escamotage del genere. Infine, l'analisi ha mostrato che 190 estensioni (alcune con oltre 100.000 download) accedono direttamente ai campi password e conservano i valori in una variabile, suggerendo che alcuni sviluppatori di queste ultime, potrebbero già sfruttando questa falla di sicurezza.
Le aziende coinvolte, in primis Amazon e Google, stanno esaminando la questione e valutando le misure necessarie per mitigare i rischi evidenziati nel rapporto ma al momento vi suggeriamo di prestare attenzione.