Chrome 扩展程序中的漏洞使数千个网站面临风险

关注： 0

威斯康星大学麦迪逊分校的研究人员最近发现了 Google Chrome 扩展程序中的一个令人震惊的漏洞，该漏洞使数百万人面临风险。

黑客能够使用 Chrome 扩展窃取密码和存储在网站 HTML 明文中的其他重要信息。

原因并不像恶意软件或病毒那么简单，而是微妙的数据泄露工具，再加上 Chrome 的安全漏洞，共同造成了这个漏洞。

许多网站将明文密码以及其他敏感信息存储在其网站的 HTML 源代码中。当网站使用这种不安全的方法存储信息时，能够访问其明文数据的黑客就可以获得所有这些信息。

许多网站还允许扩展程序拥有过多的权限，导致网站随意向黑客提供他们所需的一些信息。

结合起来，黑客可以利用易受攻击的网站来收集网站的数据以及您自己的极其敏感的信息，”报告指出。报告指出：“扩展程序仍然可以访问网页的全部内容，包括文本输入字段，用户可以在其中输入密码、社会安全号码 (SSN) 和信用卡信息等敏感信息。”

根据该研究报告，超过 17,000 个流行的 Chrome 扩展程序包含允许数据提取的漏洞，而前 11 个网站中有 10,000% 容易受到此类漏洞的影响。

为了证明这些风险有多严重，研究人员创建了自己的 Chrome 扩展程序，可以在用户登录新网站时捕获 HTML 源代码、删除密码混淆并监控用户输入。虽然没有恶意软件或病毒，但该应用程序擅长窃取数据。

该扩展程序甚至短暂地绕过了 Chrome 的新安全协议 Chrome Extension Manifest V3。

研究人员建议经常更改密码，并非常小心下载哪些扩展。大规模数据泄露的数量不断增加，第三方软件通常可以隐藏恶意文件或窃取您的数据。

SEO 支持的内容和 PR 分发。今天得到放大。
PlatoData.Network 垂直生成人工智能。赋予自己力量。访问这里。
柏拉图爱流。 Web3 智能。知识放大。访问这里。
柏拉图ESG。汽车/电动汽车，碳，清洁科技, 能源，环境，太阳能，废物管理。访问这里。
柏拉图健康。生物技术和临床试验情报。访问这里。
图表Prime。使用 ChartPrime 提升您的交易游戏。访问这里。
块偏移量。现代化环境抵消所有权。访问这里。
Sumber: https://www.safetydetectives.com/news/vulnerabilities-in-chrome-extensions-puts-thousands-of-websites-at-risk/

时间戳记： 2023 年 4 月 25 日

关于我们