0
0
Extensões maliciosas, mas de aparência legítima, do navegador Google Chrome , que roubam senhas de pessoas e outros dados confidenciais, ainda podem chegar à loja de aplicativos oficial, apesar da adoção pelo Google de um padrão que visa impedir que isso aconteça.
Essa é a palavra de pesquisadores da Universidade de Wisconsin-Madison, que criaram uma extensão de navegador de prova de conceito e roubo de dados que passou com sucesso no processo de revisão da Chrome Web Store, apesar de estar em conformidade com o Manifest V3, o mais recente padrão de segurança e privacidade do Chrome . , relataram eles em um artigo de pesquisa publicado online.
A adoção do Manifest V3 pelo Google Chrome – que o Microsoft Edge e o Mozilla Firefox agora também suportam – é um “ato de equilíbrio” entre permitir às extensões do navegador o acesso necessário para funcionar de forma eficaz, ao mesmo tempo que protege os usuários, não dando às extensões maliciosas o mesmo acesso, Mark Stockley , um evangelista de segurança cibernética do Malwarebytes Labs, escreveu em uma postagem de blog publicada esta semana.
“O padrão reforça a segurança de várias maneiras, principalmente ao impedir que extensões baixem códigos de sites remotos”, escreveu ele. Isso, por sua vez, impede que eles alterem sua funcionalidade depois de instalados, permitindo que o Google entenda o que uma extensão faz antes de permitir que ela seja publicada na loja do Chrome.
No entanto, a adoção do Manifest V3 pelo Google não impediu os pesquisadores Asmit Nayak, Rishabh Khandelwal e Kassem Fawaz da Universidade de Wisconsin-Madison de construir uma extensão de navegador que aproveitasse técnicas de ataques de injeção de código estático e dinâmico para contornar o processo de revisão da loja Chrome.
Como funciona a extensão
Especificamente, os pesquisadores descobriram duas vulnerabilidades nos campos de entrada, uma das quais foi “a alarmante descoberta de senhas em texto simples no código-fonte HTML da página da web”, escreveram eles em seu artigo.
A razão pela qual sua extensão ainda consegue roubar dados dos navegadores é porque, apesar da adoção do Manifest V3, “a interação entre as extensões e as páginas da web não mudou”, escreveram eles.
“As extensões ainda podem acessar todo o conteúdo das páginas da web, incluindo campos de entrada de texto onde os usuários podem inserir informações confidenciais, como senhas, números de seguro social e informações de cartão de crédito”, segundo o jornal.
Os pesquisadores disfarçaram sua extensão como um “assistente baseado em GPT que oferece funções semelhantes ao ChatGPT em sites”, o que permitiu solicitar permissão plausível para execução em todos os sites, explicou Stockley.
A extensão – que foi removida depois de passar no processo de revisão – poderia executar três ataques baseados em vulnerabilidades que continuam a existir na forma como sites e navegadores interagem: um ataque de extração de fonte, um ataque de valor e um ataque de substituição de elemento.
O primeiro ataque permitiu que os pesquisadores copiassem os valores confidenciais dos campos de entrada do site do HTML externo do elemento; a segunda permitiu selecionar o campo de entrada de destino e ler os valores sensíveis; e o terceiro permitiu que eles contornassem a ofuscação baseada em JavaScript para extrair valores confidenciais.
As extensões têm muito acesso às funções da Web
O sucesso dos ataques ao navegador depende do fato de que as extensões do navegador têm “acesso total e irrestrito” ao Document Object Model (DOM) de cada página da web que alguém visita, explicou Stockley. O DOM é uma representação de uma página web na memória do computador que pode ser acessada e alterada, permitindo que a página seja modificada instantaneamente.
“O acesso total ao DOM de uma página dá às extensões um poder tremendo, que inclui a leitura ou modificação de campos de entrada de texto, como aqueles em que você digita suas senhas”, escreveu ele.
Embora o sucesso da técnica dos pesquisadores dependa da forma como a página é projetada, a maioria dos 10.000 principais sites são vulneráveis, incluindo google.com, facebook.com, gmail.com, cloudflare.com e amazon.com , entre outros, afirmaram os pesquisadores.
“Nossas medições e estudos de caso revelam que essas vulnerabilidades prevalecem em vários sites, com informações confidenciais do usuário, como senhas, expostas no código-fonte HTML até mesmo de sites de alto tráfego”, escreveram.
Além disso, cerca de 12,5% das extensões possuem as permissões necessárias para explorar estas vulnerabilidades, escreveram eles, identificando 190 extensões que acessam diretamente os campos de senha.
Protegendo dados confidenciais do navegador
Não é nenhum segredo o grande risco que extensões maliciosas de navegador representam não apenas para o Google Chrome – que vem travando uma batalha difícil há anos para remover plug-ins ruins de sua loja – mas para todos os navegadores. Na verdade, pesquisas recentes descobriram que mais da metade de todas as extensões de navegador instaladas atualmente são de alto risco e têm o potencial de causar grandes danos às organizações que as utilizam.
Para combater as ameaças que seu artigo descobriu, os pesquisadores compartilharam contramedidas que podem ser implementadas na forma de uma solução “agregada” que forneceria um pacote complementar para um navegador e uma solução “integrada” desenvolvida diretamente no próprio navegador.
O primeiro é um pacote JavaScript proposto que os desenvolvedores de sites podem adotar e que lhes permite proteger campos de entrada confidenciais. A última solução seria um alerta no nível do navegador que permite aos usuários saber quando uma extensão acessa campos de entrada confidenciais, “tanto quando o campo de entrada sensível é selecionado quanto quando seu valor é lido”, escreveram os pesquisadores.
FONTE: DARK READING