Популярність браузера Chrome приваблює не тільки "білих" розробників, а й зловмисників. Фахівці з IT-безпеки виявили серйозні вразливості в низці плагінів для Chrome, що дають змогу вкрасти особисті дані користувачів.
Експериментальне розширення
Співробітники університету Вісконсін-Медісон створили розширення, здатне викрадати паролі з різних інтернет-ресурсів. Ця програма може витягувати паролі з HTML-коду сторінок сайтів. Експеримент довів, що чинні дозволи в браузері не забезпечують безпеку за принципом мінімальних привілеїв.
Уразливості на популярних сайтах
Було доведено вразливості в полях введення на безлічі ресурсів, серед них поштова служба Google Mail, соціальна мережа Facebook, а також Amazon і Citibank. За статистикою, приблизно кожен восьмий застосунок із PlayMarket може отримувати доступ до полів введення за допомогою DOM API.
Ризики для конфіденційності
Такий ніким не контрольований доступ до DOM сайтів створює певні ризики для користувацької конфіденційності. Хакери можуть отримувати особисті дані в обхід заходів безпеки.
Рекомендації для захисту даних
Для захисту полів введення програмістам рекомендують використовувати методи, доступні в мові програмування JavaScript. Також браузери повинні попереджати користувачів про доступ плагінів до особистих даних. Протокол Manifest V3 обмежує доступ програм до віддаленого коду, але цього недостатньо.
Висновки
Користувачі Chrome повинні ретельно обирати розширення і стежити за оновленнями безпеки. Розробники сайтів і браузерів також повинні приділяти підвищену увагу захисту конфіденційних даних користувачів від сторонніх додатків.
Рекомендуємо прочитати: ТОП-10 підказок, які допоможуть підготуватися до співбесіди та пройти її
