Ein Forschungsteam der University of Madison-Wisconsin hat im Sinn eines Proof-of-Concept eine Chrome-Erweiterung beim Chrome Web Store eingereicht, die Passwörter im Klartext aus dem Code einer Webseite stehlen kann,
wie "Bleeping Computer" berichtet. Möglich ist dies demnach aufgrund des eher groben Berechtigungsmodells für Chrome Extensions, das Prinzipien wie Least Privilege offenbar nicht kennt: Extensions haben praktisch uneingeschränkten Zugriff auf das gesamte Document Object Model (DOM) der Website und können so Passwörter direkt bei der Eingabe abgreifen. Auch die neue Extensions API Manifest V3 bietet keinen genügenden Schutz vor Datenexfiltration durch Erweiterungen.
Dazu kommt weiter, dass zahlreiche Websites Passwörter im Klartext im DOM speichern oder zumindest keine Schutzmassnahmen gegen DOM-Zugriff durch Browsererweiterungen enthalten, darunter auch solche mit Millionen Usern wie Gmail.com, Facebook.com, Cloudflare.com oder Amazon.com. Im Fall von Amazon sind sogar Kreditkartenangaben inklusive Sicherheitscode im Klartext im Source Code lesbar. Unter den Top-10'000-Domains legen
laut dem Paper des Forschungsteams (PDF) 1100 Passwörter im Klartext im DOM ab, und mehr als 17'000 Erweiterungen vefügen über die Berechtigungen verfügen, um sensible Informationen von beliebigen Webseiten zu erlangen.
(ubi)