研究表明浏览器扩展可以窃取您的密码
Posted: Sat Dec 21, 2024 6:12 am
威斯康星大学麦迪逊分校最近的研究表明,“相当大比例”的 Chrome 扩展程序(约 12.5%)已从用户那里获得了允许访问敏感个人信息的权限。该出版物的主要焦点是密码,研究人员表示,密码通常以纯文本形式存储在源代码中,甚至在信誉良好的网站上也是如此。据他们称,这些不受保护的密码很容易成为恶意扩展搜索数据的目标。
研究人员发现,在他们研究的 15% 的网站上(这些网站不是晦涩难懂的网站,而是与 Google 和 Cloudflare 等大牌网站有链接),密码“以纯文本形式存在”。在 HTML 源代码中。”研究人员认为,开发者 澳大利亚电报数据 这种粗心的态度,加上 Chrome 中开发扩展程序的规则相对灵活,给黑客探索这个漏洞留下了很大的漏洞。在研究过程中,他们发现了 190 个“直接访问密码字段”的扩展程序,其中包括AdBlockPlus和Honey等流行扩展程序,两者的下载量均超过 1000 万次。
调查片段喷泉
研究人员表示:
“通过分析清单文件(JSON 格式文件,提供有关扩展程序功能及其使用的文件的重要信息),我们发现 12.5% (17.3K) 的扩展程序具有提取所有 Web 上敏感信息的必要权限。页”。
尽管谷歌Chrome的新扩展平台Manifesto V3对浏览器扩展的潜力进行了限制,但研究人员发现这些措施并不能实质性遏制安全风险。他们表示:“尽管 MV3 在用户安全和隐私方面取得了预期的改进,但内容脚本的操作仍然没有改变。这导致扩展程序和网页之间持续缺乏安全边界,允许扩展程序加载到 DOM(文档对象模型)并获得对网站的无限制访问,这给用户带来了安全风险。”
看起来很吓人,对吧?那么,让我们更好地理解这一点。
一切都与信任有关
虽然广告拦截扩展程序(与许多其他扩展程序一样)确实需要某些看似令人担忧的权限,但这并不一定意味着它们是恶意的或意图窃取您的数据。他们根本没有其他选择来实现他们的目的。你必须相信他们会安全地做到这一点。
事实上,这并不是第一次对浏览器扩展访问用户数据的范围发出警告。这个问题并非 Chrome 所独有:其他浏览器(例如 Firefox)的扩展程序也具有相同的功能和权限。这种情况不仅发生在广告拦截器的情况下:所有需要修改网页内容的扩展程序(例如密码管理器和生产力工具)都需要访问这些网页上的信息。这一切背后的技术原因是 JavaScript 的使用,这是一种允许读取和修改页面 HTML 元素的编程语言。例如,密码管理器使用 JavaScript 在登录字段中输入用户名和密码,而生产力工具使用相同的语言来阻止干扰、节省时间、保存网页等。但是广告拦截器呢?
广告拦截器运行 JavaScript 来扫描网页中的广告脚本和其他与您的阻止列表相匹配的元素。他们还用它来隐藏“广告残留”,即屏蔽广告后留下的空白或损坏的元素。这个过程被称为“外观加工”。
在Chrome 商店中的 AdGuard 浏览器扩展的描述中,我们的目标是透明地说明为什么我们需要某些权限。
研究人员发现,在他们研究的 15% 的网站上(这些网站不是晦涩难懂的网站,而是与 Google 和 Cloudflare 等大牌网站有链接),密码“以纯文本形式存在”。在 HTML 源代码中。”研究人员认为,开发者 澳大利亚电报数据 这种粗心的态度,加上 Chrome 中开发扩展程序的规则相对灵活,给黑客探索这个漏洞留下了很大的漏洞。在研究过程中,他们发现了 190 个“直接访问密码字段”的扩展程序,其中包括AdBlockPlus和Honey等流行扩展程序,两者的下载量均超过 1000 万次。
调查片段喷泉
研究人员表示:
“通过分析清单文件(JSON 格式文件,提供有关扩展程序功能及其使用的文件的重要信息),我们发现 12.5% (17.3K) 的扩展程序具有提取所有 Web 上敏感信息的必要权限。页”。
尽管谷歌Chrome的新扩展平台Manifesto V3对浏览器扩展的潜力进行了限制,但研究人员发现这些措施并不能实质性遏制安全风险。他们表示:“尽管 MV3 在用户安全和隐私方面取得了预期的改进,但内容脚本的操作仍然没有改变。这导致扩展程序和网页之间持续缺乏安全边界,允许扩展程序加载到 DOM(文档对象模型)并获得对网站的无限制访问,这给用户带来了安全风险。”
看起来很吓人,对吧?那么,让我们更好地理解这一点。
一切都与信任有关
虽然广告拦截扩展程序(与许多其他扩展程序一样)确实需要某些看似令人担忧的权限,但这并不一定意味着它们是恶意的或意图窃取您的数据。他们根本没有其他选择来实现他们的目的。你必须相信他们会安全地做到这一点。
事实上,这并不是第一次对浏览器扩展访问用户数据的范围发出警告。这个问题并非 Chrome 所独有:其他浏览器(例如 Firefox)的扩展程序也具有相同的功能和权限。这种情况不仅发生在广告拦截器的情况下:所有需要修改网页内容的扩展程序(例如密码管理器和生产力工具)都需要访问这些网页上的信息。这一切背后的技术原因是 JavaScript 的使用,这是一种允许读取和修改页面 HTML 元素的编程语言。例如,密码管理器使用 JavaScript 在登录字段中输入用户名和密码,而生产力工具使用相同的语言来阻止干扰、节省时间、保存网页等。但是广告拦截器呢?
广告拦截器运行 JavaScript 来扫描网页中的广告脚本和其他与您的阻止列表相匹配的元素。他们还用它来隐藏“广告残留”,即屏蔽广告后留下的空白或损坏的元素。这个过程被称为“外观加工”。
在Chrome 商店中的 AdGuard 浏览器扩展的描述中,我们的目标是透明地说明为什么我们需要某些权限。