Chrome 拡張機能の脆弱性により、数千の Web サイトが危険にさらされる

タイラー・クロス
発行日： 2023 年 9 月 7 日

ウィスコンシン大学マディソン校の研究者らは最近、Google Chrome 拡張機能に数百万人が危険にさらされる衝撃的な脆弱性を発見しました。

ハッカーは Chrome 拡張機能を使用して、Web サイトの HTML プレーンテキストに保存されているパスワードやその他の重要な情報を盗むことができます。

その説明はマルウェアやウイルスほど単純ではなく、むしろ巧妙なデータ引き出しツールと Chrome のセキュリティのギャップが組み合わさってこの脆弱性を生み出しています。

多くの Web サイトでは、機密情報の中でも特に平文のパスワードが Web サイトの HTML ソース コードに保存されています。 Web サイトがこの安全でない方法を使用して情報を保存すると、平文データにアクセスできるハッカーがその情報をすべて入手できる可能性があります。

また、多くの Web サイトでは拡張機能に過剰な権限を許可しているため、Web サイトがハッカーに必要な情報の一部を自由に与えてしまう状況が生じています。

これらを組み合わせると、ハッカーは脆弱な Web サイトを利用して、Web サイトのデータとユーザー自身の非常に機密情報を収集する可能性があります」と報告書には記載されています。 「拡張機能は、ユーザーがパスワード、社会保障番号 (SSN)、クレジット カード情報などの機密情報を入力するテキスト入力フィールドを含む、Web ページのコンテンツ全体に引き続きアクセスできます」と報告書には記載されています。

調査レポートによると、17,000 以上の人気のある Chrome 拡張機能にデータ抽出を可能にする脆弱性が含まれており、上位 11 の Web サイトの 10,000% がこの種の侵害の影響を受けやすいとのことです。

これらのリスクがどれほど深刻であるかを実証するために、研究者らは、ユーザーが新しい Web サイトにログインするたびに HTML ソース コードをキャプチャし、パスワードの難読化を解除し、ユーザー入力を監視できる独自の Chrome 拡張機能を作成しました。 マルウェアやウイルスは存在しませんでしたが、このアプリケーションはデータの抜き取りに熟練していました。

この拡張機能は、Chrome の新しいセキュリティ プロトコルである Chrome Extension Manifest V3 を一時的にバイパスしました。

研究者らは、パスワードを頻繁に変更し、どの拡張機能をダウンロードするかについて細心の注意を払うことを推奨しています。 大規模なデータ侵害の件数は増加するばかりで、サードパーティのソフトウェアが悪意のあるファイルを隠したり、データを盗んだりすることがあります。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• チャートプライム。 ChartPrime でトレーディング ゲームをレベルアップしましょう。 こちらからアクセスしてください。
• ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
• 情報源： https://www.safetydetectives.com/news/vulnerabilities-in-chrome-extensions-puts-thousands-of-websites-at-risk/