上週,美國威斯康星大學的研究團隊對web瀏覽器文字輸入欄位的安全性進行了分析,他們發現,能夠透過Chrome擴充套件從網站原始碼中竊取明文密碼。
瀏覽器擴充套件是增強web瀏覽器功能並改善使用者體驗的小型應用程式,可用於新增新功能、美化網頁內容以及自動化任務。經典的瀏覽器擴充套件有:密碼管理器、Pocket等生產力工具,以及廣告攔截程式等。為實現上述功能,擴充套件需要訪問瀏覽器資源、API和網頁內容,並執行JavaScript程式碼。
文字輸入欄位通常用於敏感資料,如使用者名稱、密碼、信用卡資訊等。鑑於資料的敏感性,確保惡意行為者無法訪問輸入欄位至關重要。如果攻擊者能夠訪問或操縱這些欄位中的資料,他們就有可能竊取私人使用者資訊、冒充使用者或是實施欺詐。
該研究團隊表示,由於瀏覽器的粗粒度許可權模型,擴充套件和網頁之間缺乏安全邊界。這種邊界的缺乏允許擴充套件自由地與HTML元素互動並操作HTML元素,包括HTML輸入元素。具體來說,他們發現擴充套件許可權模型違反了兩個安全原則:最小許可權;完全中介。——而這會允許惡意擴充套件在使用者不知情的情況下訪問使用者敏感資訊。
為驗證這些漏洞的真實影響,研究人員設計了一個能夠進行密碼竊取攻擊的概念驗證Chrome擴充套件程式,併成功繞過了谷歌的Web Store審查上架。該研究團隊的測試表明,這些漏洞在各種網站中普遍存在,即使是谷歌和Cloudflare等高流量網站的HTML原始碼中也會暴露出密碼等敏感使用者資訊。他們發現,相當大比例(12.5%)的擴充套件擁有利用這些漏洞的必要許可權,並已識別出190個直接訪問密碼欄位的擴充套件。
最後,研究團隊對此給出了兩種解決方案:其一是建議網站開發人員採用其提供的JavaScript包來保護敏感輸入欄位;其二是瀏覽器級解決方案,當擴充套件訪問敏感輸入欄位時提醒使用者。
編輯:左右裡
資訊來源:arxiv.org
轉載請註明出處和本文連結