Популярность браузера Chrome привлекает не только “белых” разработчиков, но и злоумышленников. Специалисты по IT-безопасности выявили серьезные уязвимости в ряде плагинов для Chrome, позволяющих украсть личные данные пользователей.
Экспериментальное расширение
Сотрудники университета Висконсин-Мэдисон создали расширение, способное похищать пароли с различных интернет-ресурсов. Эта программа может извлекать пароли из HTML-кода страниц сайтов. Эксперимент доказал, что действующие разрешения в браузере не обеспечивают безопасность по принципу минимальных привилегий.
Уязвимости на популярных сайтах
Были доказаны уязвимости в полях ввода на множестве ресурсов, среди них почтовая служба Google Mail, социальная сеть Facebook, а также Amazon и Citibank. По статистике, примерно каждое восьмое приложение из PlayMarket может получать доступ к полям ввода с помощью DOM API.
Риски для конфиденциальности
Такой никем не контролируемый доступ к DOM сайтов создает определенные риски для пользовательской конфиденциальности. Хакеры могут получать личные данные в обход мер безопасности.
Рекомендации для защиты данных
Для защиты полей ввода программистам рекомендуют использовать методы, доступные в языке программирования JavaScript. Также браузеры должны предупреждать пользователей о доступе плагинов к личным данным. Протокол Manifest V3 ограничивает доступ программ к удаленному коду, но этого недостаточно.
Выводы
Пользователи Chrome должны тщательно выбирать расширения и следить за обновлениями безопасности. Разработчики сайтов и браузеров также должны уделять повышенное внимание защите конфиденциальных данных пользователей от сторонних приложений.
Рекомендуем прочитать: Обладает ли нейросеть истинным интеллектом? Разбираемся на примере ChatGPT











