Google Chrome должи голем дел од својата популарност на стотици екстензии, кои ја прошируваат неговата функционалност, па дури и го прават прегледувањето на содржината побезбедно за децата и за возрасните. Сепак, многу екстензии можат да навлезат и во приватна содржина, како што се е-пошта или банкарски информации, што ги прави потенцијален кошмар за приватност за милиони корисници.
Сега група истражувачи за сајбер безбедност докажаа дека луѓето треба да бидат внимателни кога инсталираат екстензии бидејќи не сите од нив се безбедни за употреба.
Истражувачите од Универзитетот во Висконсин-Медисон создадоа екстензија на Chrome со доказ за концепт, способна да краде отворени лозинки од изворните кодови на HTML на речиси секоја веб-страница. Во трудот што истражувачите го објавија неодамна, детално се наведува дека сеопфатната анализа на безбедноста на полињата за внесување текст во веб-прелистувачите открила дека нивниот „модел на груби дозволи прекршува два принципа на безбедносен дизајн: најмала привилегија и целосна посредување“.
Истражувачите открија и два пропусти во полињата за внесување, вклучително и откривање на лозинки за обичен текст во изворниот код на HTML на популарните веб-страни, како што е gmail.com. Други големи веб-страници, кои исто така складираат отворени лозинки во нивниот изворен код на HTML, вклучуваат Cloudflare, Facebook, Amazon, Citibank, Capital One и други.
Работите да бидат уште полоши, околу 12,5 проценти од екстензии во веб-продавницата на Chrome ги имаат потребните дозволи за искористување на овие пропусти, а тие вклучуваат некои од најпопуларните блокатори на реклами и додатоци за купување.
Како што е соопштено од Bleeping Computer, екстензии на прелистувачи често имаат неограничен пристап до DOM стеблото на веб-страниците што ги вчитуваат, што потенцијално претставува ризик за приватноста на корисниците.
Тоа е затоа што DOM API овозможува пристап до чувствителни елементи како што се полињата за внесување на корисникот, оставајќи ја вратата отворена за бескрупулозните програмери да го злоупотребат за да извлечат чувствителни информации внесени од корисникот, заобиколувајќи ги сите безбедносни мерки имплементирани од страната.