Expertos de la Universidad de Wisconsin en Madison han descubierto que se pueden cargar extensiones en Chrome Web Store que pueden robar contraseñas de sitios web directamente desde su código fuente.
Los investigadores dicen que el problema que descubrieron está relacionado con la práctica de permitir a las extensiones acceso sin restricciones al árbol DOM de los sitios en los que están cargadas. Esto le permite acceder a elementos potencialmente confidenciales, incluidos los campos de entrada del usuario.
Dado que no existen límites de seguridad entre la extensión y los elementos del sitio, las extensiones tienen acceso ilimitado a los datos del código fuente y pueden extraer contenido arbitrario de allí.
Además, las extensiones pueden abusar de la API DOM para recuperar directamente el valor de la entrada cuando el usuario ingresa datos, evitando cualquier ofuscación que el sitio utilice para proteger datos confidenciales.
Te puede interesar: Los robots se están convirtiendo en hábiles manipuladores
El nuevo Manifest V3 , adoptado por la mayoría de los navegadores este año, limita el abuso de API, evita que las extensiones reciban código remoto e impide el uso de eval, que puede conducir a la ejecución de código arbitrario. Sin embargo, según los expertos.
Manifest V3 no tiene límites de seguridad que se establecerían entre extensiones y páginas web, por lo que el problema con los scripts de contenido persiste.
Para probar esta teoría, los investigadores crearon una extensión de prueba de concepto maliciosa especial e intentaron subirla a Chrome Web Store.
Una extensión que se haga pasar por un asistente para trabajar con GPT podría:
- capturar el código fuente HTML cuando un usuario intenta ingresar a una página usando una expresión regular;
- Abuse de los selectores de CSS para seleccionar campos de entrada de destino y extraer la entrada del usuario utilizando la función .value.
- realice el reemplazo de elementos para reemplazar campos ofuscados basados en JS con campos de contraseña inseguros.
Dado que la extensión no contenía ningún código obviamente malicioso, evitó con éxito el análisis estático. Tampoco recibió código de fuentes externas, por lo que cumplió con los requisitos del Manifest V3. Como resultado, la extensión pasó las pruebas y se publicó con éxito en Chrome Web Store.
El informe de los expertos destaca que en su prueba eliminaron la recopilación de datos de usuarios reales al desactivar el servidor de ingesta de datos y dejar activo solo el elemento dirigido al servidor.
Además, la extensión estaba en estado “no publicada” para no recibir una gran cantidad de descargas y, tras su aprobación, fue eliminada rápidamente del catálogo.
Un análisis posterior mostró que de los 10.000 sitios más visitados en Internet (según Tranco), aproximadamente 1.100 almacenan contraseñas de usuario en texto plano utilizando HTML DOM.
Se descubrió que otros 7.300 sitios eran vulnerables al acceder a la API DOM y extraer directamente la entrada del usuario.
Como resultado, los expertos dicen que alrededor de 17.300 extensiones en Chrome Web Store (12,5% del total) tienen los permisos necesarios para extraer información sensible de los sitios. Algunos de ellos, incluidos los populares bloqueadores de anuncios y aplicaciones de compras, tienen millones de instalaciones.
Como ejemplos de sitios que carecen de protección, los expertos enumeran:
• gmail.com – contraseñas en texto claro en el código HTML fuente;
• cloudflare.com – contraseñas en texto claro en el código HTML fuente;
• facebook.com* – los datos del usuario se pueden recuperar a través de la API DOM;
• citibank.com – los datos del usuario se pueden recuperar a través de DOM API;
• irs.gov: los números de seguro social son “visibles” en texto claro en el código fuente de la página;
• capitalone.com: los números de seguridad social son “visibles” en texto claro en el código fuente de la página;
• usenix.org – los números de seguridad social son “visibles” en texto claro en el código fuente de la página;
• amazon.com: la información de la tarjeta bancaria (incluidos los códigos CVV) y los códigos postales se muestran en texto claro en el código fuente de la página.
Además, el análisis identificó 190 extensiones (algunas descargadas más de 100.000 veces) que acceden directamente a los campos de contraseña y almacenan los valores en una variable, lo que sugiere que algunas ya están intentando explotar esta vulnerabilidad.
Los periodistas de Bleeping Computer preguntaron a los gigantes de la informática si tenían previsto eliminar los riesgos descritos a los investigadores. Amazon dijo que «la información del cliente ingresada en los sitios de Amazon es segura» y recomendó a los desarrolladores de navegadores y extensiones que «utilicen las mejores prácticas de seguridad para proteger aún más a los clientes».
Google dijo que estaba investigando los problemas planteados por los investigadores, pero también citó una extensión de preguntas frecuentes sobre seguridad que establece que el acceso a los campos de contraseña no se considera un problema de seguridad si se obtienen adecuadamente los permisos necesarios.