Investigadores han rematado crear una extensión para Chrome capaz de robar contraseñas en texto plano de sitios web muy populares.
Las extensiones de Chrome suelen eregirse como herramientas muy válidas para hacer que el navegador sea mucho más interesante, pero asimismo es sabido que muchas de ellas pueden terminar siendo peligrosas, incluso capaces de asimilar las contraseñas que almacenamos en nuestro navegador.
Y un equipo de investigadores de la Universidad de Wisconsin Madison ha podido crear una extensión de Chrome, que es capaz de robar contraseñas en texto plano del código fuente de prácticamente cualquier sitio web.
No obstante, los investigadores descubrieron que sitios webs importantes como los de Google, Cloudflare o Amazon, almacenan contraseñas en texto sin formato interiormente del código fuente HTML de sus páginas webs, permitiendo que este tipo de extensiones las recuperen.
Explican que el problema es la praxis de dar a las extensiones de Chrome comunicación al árbol DOM de los sitios que carga permitiéndoles conseguir a principios sensibles como los campos de entrada del adjudicatario.
Con ello, la extensión tendría comunicación ilimitado a los datos visibles en el código fuente y puede hasta extraer cualquiera de los contenidos.
Si acertadamente explican que el protocolo Manifest V3 de Google Chrome prohíbe que las extensiones obtengan código alojado de forma remota, no se introduce un divisoria de seguridad entre las extensiones y las páginas webs, con lo que el problema con los scripts de contenido persiste, aclaran los investigadores.
Así que, como dijimos, los investigadores crearon una extensión de Chrome de prueba, para evidentemente demostrar los peligros que existen al respecto y lograron ocurrir las distintas líneas de seguridad hasta ser aceptada en la propia Chrome Web Store.
La extensión se configuró siempre como no publicada, para que ningún adjudicatario se la pudiera descargar en el momento en el que estuvo adecuado.
Los investigadores afirman en su noticia técnico que aproximadamente 17.300 extensiones disponibles en Chrome Web Store obtienen los permisos necesarios para extraer información confidencial de los sitios web.