Phát hiện hàng loạt extension giả mạo trên Chrome "ăn cắp" mật khẩu từ Facebook, Gmail, ngân hàng

[Nguyễn_Cương]

​

Google Chrome phần lớn có được sự phổ biến nhờ hàng trăm extension miễn phí giúp mở rộng chức năng và thậm chí giúp duyệt web an toàn hơn cho cả trẻ em và người lớn. Tuy nhiên, nhiều extension cũng có thể truy xuất nội dung riêng tư, chẳng hạn như email hoặc tài khoản ngân hàng, khiến chúng trở thành cơn ác mộng về quyền riêng tư tiềm ẩn đối với hàng triệu người dùng.

Giờ đây, một nhóm các nhà nghiên cứu an ninh mạng đã chứng minh rằng mọi người cần phải thận trọng khi cài đặt các extension vì không phải tất cả chúng đều an toàn khi sử dụng. Cụ thể, các nhà nghiên cứu từ Đại học Wisconsin-Madison đã tạo ra một extension Chrome làm bằng chứng việc extension có khả năng đánh cắp mật khẩu văn bản gốc từ mã nguồn HTML của hầu hết mọi trang web. Một bài báo được các nhà nghiên cứu xuất bản tuần trước đã trình bày chi tiết cách phân tích toàn diện về tính bảo mật của các trường nhập văn bản trong trình duyệt web.

Các nhà nghiên cứu cũng phát hiện ra hai lỗ hổng trong trường nhập liệu, bao gồm việc phát hiện mật khẩu ở dạng văn bản gốc trong nguồn mã HTML của các trang web phổ biến, chẳng hạn như gmail.com. Các trang web lớn khác cũng lưu trữ mật khẩu văn bản gốc trong mã nguồn HTML của họ bao gồm Cloudflare, Facebook, Amazon, Citibank, Capital One, v.v. Điều tồi tệ hơn là khoảng 12,5% extension trên cửa hàng Chrome trực tuyến có các quyền cần thiết để khai thác các lỗ hổng này và chúng bao gồm một số extension mua sắm và chặn quảng cáo phổ biến nhất.

​

Theo báo cáo của Bleeping Computer, các extension của trình duyệt thường có quyền truy cập không hạn chế vào DOM của các trang web mà chúng tải lên, có khả năng tạo ra mối nguy hiểm về quyền riêng tư cho người dùng. Đó là vì API DOM cho phép truy cập các yếu tố nhạy cảm như trường nhập của người dùng, tạo cơ hội cho các nhà phát triển vô đạo đức lạm dụng nó để trích xuất thông tin bí mật do người dùng nhập, bỏ qua mọi biện pháp bảo mật mà trang web áp dụng.

Để giảm thiểu rủi ro, các nhà nghiên cứu đã đề xuất hai biện pháp đối phó mà họ tin rằng sẽ làm giảm đáng kể nguy cơ thông tin cá nhân của người dùng bị truy cập bởi các nguồn trái phép. Thứ nhất, các nhà phát triển trang web nên sử dụng JavaScript để bảo vệ các trường nhập nhạy cảm và thứ hai, người dùng sẽ nhận được thông báo cảnh báo từ trình duyệt của họ mỗi khi extension truy cập vào các trường đó.

Theo Techspot​

Xem thêm:

Google sẽ tiêu diệt extension chặn quảng cáo "mãi mãi" với bản cập...

Sau extension chặn quảng cáo, YouTube chuẩn bị "tiêu diệt" YouTube Vanced...

Số lượt người dùng gỡ extension chặn quảng cáo tăng vọt sau lệnh...

YouTube Việt Nam bắt đầu hiện pop-up yêu cầu tắt extension chặn quảng...

Không "keo kiệt" như Chrome, Firefox sẽ hỗ trợ cài đặt extension trên...

Ép người dùng mua Premium, YouTube thêm pop-up yêu cầu tắt extension chặn...

TOP 10 extension chặn quảng cáo hoàn toàn miễn phí mà bạn nên cài...

Hướng dẫn bạn tích hợp ChatGPT vào mọi trang web trên Chrome, Edge...

Tổng hợp 5 extension cực hay, cực hữu ích sử dụng sức mạnh của...

Thời kỳ "xem chùa" đã hết, YouTube ra mắt tính năng chặn người...