Les extensions de navigateur peuvent capturer des mots de passe et des informations sensibles sous forme de texte brut

Lorsque vous saisissez un mot de passe ou un numéro de carte de crédit sur un web site Internet, vous vous attendez à ce que vos données sensibles soient protégées par un système conçu pour assurer leur sécurité.

Ce n’est pas toujours le cas, selon un groupe de chercheurs en sécurité numérique de l’Université du Wisconsin-Madison. Ils ont découvert que certains websites Internet populaires sont vulnérables aux extensions de navigateur qui peuvent extraire des données utilisateur telles que des mots de passe, des informations de carte de crédit et des numéros de sécurité sociale à partir du code HTML. Los angeles model initiale de leurs travaux a fait beaucoup de bruit dans les cercles technologiques.

L’équipe comprend Rishabh Khandelwal et Asmit Nayak, Ph.D. Étudiants travaillant avec Qasim Fawaz, professeur agrégé de génie électrique et informatique à l’Université du Wisconsin-Madison. Le trio a découvert le problème pour l. a. première fois en analysant les pages Internet de connexion de Google.

« Nous jouions avec les pages de connexion et, dans le code supply HTML, nous pouvions voir le mot de passe en texte brut », explique Nayak. “C’est intéressant”, avons-nous dit. Pourquoi cela arrive-t-il? « Est-il conceivable que d’autres websites Internet puissent faire quelque selected de similaire ? » Nous avons ensuite commencé à creuser plus profondément.

Ils ont découvert un gros problème. Les chercheurs ont découvert qu’un grand nombre de websites Internet (environ 15 % des plus de 7 000 websites consultés) stockaient des informations sensibles sous forme de texte brut dans leur code supply HTML. Même si de nombreuses mesures de sécurité empêchent les pirates d’accéder à ces données, l’équipe a émis l’hypothèse qu’il pourrait être conceivable de les retrouver à l’aide d’une extension de navigateur.

Les extensions de navigateur sont des modules complémentaires qui permettent aux utilisateurs, à l’aide de petits morceaux de code, de personnaliser leur expérience Web, par exemple en bloquant les publicités ou en améliorant l. a. gestion du temps. Les développeurs de navigateurs proposent parfois des fonctionnalités expérimentales by means of des extensions tout en permettant également aux développeurs tiers de proposer leurs propres extensions aux utilisateurs. Les chercheurs ont découvert que l’extension malveillante peut utiliser du code écrit dans un langage de programmation populaire pour détourner les informations de connexion, les mots de passe et d’autres données protégées des utilisateurs.

“En combinant ce que nous savons sur les extensions et les websites Internet, l’extension peut facilement accéder aux mots de passe des utilisateurs”, explique Fawaz. “Ce n’est pas quelque selected qui se produit réellement, mais rien ne l’arrête.”

En examinant les extensions disponibles pour Google Chrome, l’équipe a constaté que 17 300, soit 12,5 %, des extensions de navigateur disponibles disposaient des autorisations nécessaires pour exploiter cette vulnérabilité. Pour voir si cette extension pouvait être déployée, ils ont développé leur propre extension et l’ont soumise au Chrome Internet Retailer, l. a. décrivant comme un assistant IA offrant des fonctionnalités de kind ChatGPT sur les websites Internet. Le magasin a accepté l. a. prolongation. L’équipe a pris soin de ne pas rendre l’extension publique et l’a rapidement supprimée après son approbation, montrant ainsi qu’un tel exploit pouvait passer inaperçu. Les chercheurs confirment qu’à aucun second aucun préjudice n’a été causé aux utilisateurs.

Un vrai hacker ne suivrait probablement pas le même chemin, dit Khandelwal.

“Une personne malveillante n’a pas besoin de repartir de zéro”, dit-il. “Ils peuvent accéder aux plugins existants, par exemple en en achetant un avec de nombreux utilisateurs et en modifiant un peu le code. Ils peuvent maintenir les fonctionnalités et accéder aux mots de passe très facilement.”

Fawaz dit qu’il est possible que l. a. vulnérabilité ne soit pas un oubli ; Au lieu de cela, l. a. sécurité du navigateur est configurée de cette manière pour permettre aux extensions de gestionnaire de mots de passe populaires d’accéder aux informations de mot de passe. De son côté, Google affirme dans une déclaration aux chercheurs qu’il étudie l. a. query mais ne le considère pas comme une faille de sécurité, surtout si les autorisations d’extension sont configurées correctement.

Cependant, Fawaz reste inquiet et espère que ses recherches convaincront les websites Internet de repenser l. a. manière dont ils traitent ces informations sensibles. Son équipe suggest des alertes pour informer les utilisateurs lorsque des données sensibles sont accédées par des extensions de navigateur, ainsi que des outils permettant aux développeurs de protéger ces champs de données.

«C’est dangereux», dit Fawaz. “C’est quelque selected que les gens doivent vraiment savoir : les mots de passe ne sont pas toujours sécurisés sur les navigateurs.”