Google Chrome -tillägg måste rymmas i Chrome Web Store – Silicon, tusentals Google Chrome -tillägg skulle kunna stjäla dina lösenord

Tusentals Google Chrome -tillägg skulle kunna stjäla dina lösenord

En stor risk, eftersom dessa lösenord sedan kan användas för flyg, identitetsstöld och andra bedrägerier av alla slag. Dessa tillägg är inte virus: problemet skulle faktiskt komma från webbplatser själva, enligt forskare från University of Wisconsin-Madison vid studiens ursprung.

Google Chrome Extensions måste vara värd på Web Store Chrome

Webbläsaren Google Chrome fortsätt att lida av Attacker av vissa uteslutande utvecklare som implementerar oönskade tillägg, Tillåter till exempel att infoga annonser på sidorna i dimaren eller att fånga navigationsdata.

Ett problem som Google redan hade försökt bosätta sig i februari, med Krom 25. Den här versionen faktiskt förbjudet den tysta installationen (Det vill säga utan att användaren informeras) om tillägg inom dimaren (se “Google Chrome 25 ger röstigenkänning, städar tillägg och säkerställer forskning”)).

En synligt otillräcklig Eftersom oönskade tillägg med tyst installation fortsatte att sprida sig. Google Engineers beslutade att höja sin ton och meddelade det Endast tillägg som är värd på Web Store Chrome kan installeras i stabil version och krom beta.

Förstärkt säkerhet ..

Detta beslut kommer inte att först oroa att Windows -versionen av applikationen – som förblir det mest drabbade av detta fenomen – och kommer att gälla från januari 2014.

Det kommer därför att bli omöjligt att installera en förlängning från en tredje parti -webbplats, eller från datorns hårddisk. Google kommer att kunna styra installationsprocessen för Extensions, varav den tysta installationen av dessa moduler är omöjliga från Web Store Chrome.

Det bör noteras att de som använder en preliminär version av Chrome och de som utvecklar ytterligare moduler kommer att kunna fortsätta att installera tillägg direkt från sin maskin (eller en annan webbplats än Web Store Chrome).

Denna möjlighet kommer också att förbli tillgänglig för Företag som använder gruppregler för intern distribution av sina egna tillägg.

Fotokredit: © Google

Tusentals Google Chrome -tillägg skulle kunna stjäla dina lösenord

Mer än 17.000 program tillgängliga i Chrome Web Store kan spela in lösenorden du skriver på många webbplatser som Gmail, Facebook eller Amazon, enligt en studie.

Om du använder Google Chrome har du antagligen laddat ner tillägg, dessa program som lägger till många funktioner som är mycket användbara i den grundläggande webbläsaren. Se upp, eftersom de kunde stjäla dina lösenord dig.

Och det är inte en epifenomenon. Flera tusen av dessa tillägg som laddats ner i Google Chrome -butiken skulle ha de nödvändiga behörigheterna för att återhämta sig utan problem med lösenorden du anger på webbplatser, enligt en studie som publicerades den 30 augusti på Arxiv Prepublication -webbplatsen.

En stor risk, eftersom dessa lösenord sedan kan användas för flyg, identitetsstöld och andra bedrägerier av alla slag. Dessa tillägg är inte virus: problemet skulle faktiskt komma från webbplatser själva, enligt forskare från University of Wisconsin-Madison vid studiens ursprung.

Tydliga läsbara lösenord

En stor del av dessa webbplatser lagrar lösenord som du skriver i deras HTML -kod och tydlig. Det vill säga utan någon modifiering och på ett perfekt läsbart sätt av ett människa eller ett program.

Många kromförlängningar kan emellertid indirekt konsultera HTML -koden för webbplatser och därför kommunicera dina lösenord, enligt författarna till texten som vidarebefordras av den specialiserade webbplatsen Bleeping Computer. Nästan 17.300 tillägg, eller 12,5% av det totala tillgängliga på plattformen, skulle ha denna möjlighet enligt studien (som ännu inte har lästs av en läsningskommitté).

För att stödja deras slutsatser försökte forskarna upplevelsen. De skapade en kromförlängning som kan stjäla lösenorden för sina användare enligt den beskrivna metoden, och de försökte göra den tillgänglig för användare i Google Extensions Store.

Programmet, förklädt genom att hjälpa virtuellt erbjudande som liknar chatgpt -funktioner, har gått utan problem förfarandena för att verifiera webbbutikens Chrome. Han kunde därför ha stulit lösenord från alla användare som skulle ha laddat ner det – forskarna förklarar att de har inaktiverat insamlingen av denna information och snabbt tagit bort tillämpningen av Chrome -butiken, men alla programmerare kanske inte är för etiska.

Webbplatser som Gmail och Facebook berörda

Och det finns många möjligheter: bland de 10.000 de flesta besökta webbplatser, cirka 1.100 registrera lösenorden tydligt i sin HTML -kod, enligt forskare. Stora namn som Gmail, Facebook eller Amazon – och 7.300 andra skulle ha liknande sårbarheter.

Denna teknik utnyttjas redan utan användarnas kunskap? Studieförfattarna har identifierat 190 tillägg som redan lagrar lösenord. Med Bleeping -datorn sa en talesman för Google att företaget studerade situationen, men påminde om att FAQ för Google Chrome -tillägg är det inte ett säkerhetsproblem så länge som godkännanden har erhållits legitimt.