Onderzoekers ontdekken dat Google Chrome-extensies wachtwoorden kunnen stelen
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2023%2F09%2Fnathana-reboucas-O5v8heKY4cI-unsplash-1.jpg)
Een groep onderzoekers van de Universiteit van Wisconsin-Madison is er in geslaagd een Google Chrome-extensie te uploaden waarmee de wachtwoorden van websites kunnen worden gestolen. De extensie heeft toegang tot alle zichtbare broncode. Daardoor zijn ook wachtwoorden in platte tekst zichtbaar. Oei.
De extensie van de onderzoekers van de Amerikaanse universiteit betreft een zogenoemd proof-of-concept. Die heeft als doel om te bewijzen dat andere extensies op een soortgelijke manier gevoelige informatie van websites kunnen verkrijgen.
De Chrome-extensie werd gewoon toegelaten door Google
Omdat de Google Chrome-extensie van de onderzoekers op zichzelf geen kwaadaardige code bevat, liet het techbedrijf de extensie zonder slag of stoot toe als een op ChatGPT-gebaseerde assistent in de Chrome Web Store.
En omdat er geen veiligheidsgrens is tussen de Google Chrome-extensies en de elementen van de site, hebben de extensies dus onbeperkte toegang tot de broncode. Hierdoor is het dus mogelijk voor extensies om de inhoud ervan te bemachtigen.
Google lanceerde onlangs het Manifest V3-protocol voor Chrome-extensies, om misbruik met API’s te beperken. Toch lijkt het erop dat de techgigant aan de bak moet om te voorkomen dat Chrome-extensies zonder geldige reden toegang hebben tot de wachtwoorden van verschillende websites.
Flink wat websites slaan hun wachtwoorden op in de broncode
Uit nader onderzoek bleek dat 1.100 van de 10.000 meest bezochte websites hun wachtwoorden opslaan in zichtbare tekst in de HTML-broncode van de site. Hierdoor kunnen Google Chrome-extensies wachtwoorden in leesbare tekst ophalen uit deze code.
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2023%2F09%2FCleanShot-2023-09-08-at-11.04.57-e1694163940687.png)
Meer dan 17.000 extensies in de Chrome Web Store zouden hiertoe in staat zijn. Dat is ongeveer 12,5 procent van het totale aanbod. Veel van deze extensies hebben bovendien miljoenen installaties, waaronder populaire adblockers en winkel-apps.
Onder meer grote, populaire websites, zoals gmail.com, facebook.com en amazon.com zouden gevoelig zijn voor wachtwoorddiefstal door middel van een Google Chrome-extensie zoals die de onderzoekers ontwikkelden.
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F04%2Fphoto-1588432892804-a10512c79146.jpg)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2023%2F09%2Fkamil-s-SuPAbuuK7f4-unsplash.jpg)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F04%2Fdaniel-romero-AgLMrojqjAM-unsplash.jpg)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F04%2FRobosen-Transformers-robot.png)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F04%2FHarry-Potter-1.png)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F04%2Felektrische-fiets-decathlon.png)