Las extensiones de Chrome pueden robar contraseñas de sitios web

Los investigadores han conseguido crear una extensión de Chrome capaz de robar contraseñas en texto plano de sitios web populares.

Las extensiones de Chrome suelen ser herramientas muy válidas para hacer el navegador mucho más interesante, pero también es sabido que muchas de ellas pueden acabar siendo peligrosas, incluso capaces de conocer las contraseñas que almacenamos en nuestro navegador.

Y un equipo de investigadores de la Universidad de Wisconsin Madison ha podido crear una extensión de Chrome, que es capaz de robar contraseñas en texto plano del código fuente de prácticamente cualquier sitio web.

Sin embargo, los investigadores descubrieron que grandes sitios web como los de Google, Cloudflare o Amazon almacenan las contraseñas en texto plano dentro del código fuente HTML de sus páginas web, permitiendo que este tipo de extensiones las recuperen.

Explican que el problema es la práctica de dar extensiones de cromo acceso al árbol DOM de los sitios que carga permitiéndoles acceder a elementos sensibles como los campos de entrada del usuario.

Con esto, la extensión tendría acceso ilimitado a los datos visibles en el código fuente e incluso podría extraer cualquier contenido.

Aunque explican que el protocolo Manifest V3 de Google Chrome prohíbe que las extensiones obtengan código alojado remotamente, no introduce un límite de seguridad entre las extensiones y las páginas web, por lo que el problema con los scripts de contenido persiste, aclaran. los investigadores.

Entonces, como dijimos, los investigadores crearon una extensión de Cromo prueba, para evidentemente demostrar los peligros que existen al respecto y logró pasar las diferentes líneas de seguridad hasta ser aceptado en la propia Chrome Web Store.

La extensión siempre estuvo configurada como no publicada, de modo que ningún usuario pudiera descargarla en el momento en que estuvo disponible.

Los investigadores afirman en su documento técnico que aproximadamente 17.300 extensiones disponibles en Chrome Web Store obtienen los permisos necesarios para extraer información confidencial de sitios web.