Onderzoekers ontdekken dat Google Chrome-extensies wachtwoorden kunnen stelen

Apps Sabine Schults 9 sep 2023
Leestijd: 2 minuten

Een groep onderzoekers van de Universiteit van Wisconsin-Madison is er in geslaagd een Google Chrome-extensie te uploaden waarmee de wachtwoorden van websites kunnen worden gestolen. De extensie heeft toegang tot alle zichtbare broncode. Daardoor zijn ook wachtwoorden in platte tekst zichtbaar. Oei.

De extensie van de onderzoekers van de Amerikaanse universiteit betreft een zogenoemd proof-of-concept. Die heeft als doel om te bewijzen dat andere extensies op een soortgelijke manier gevoelige informatie van websites kunnen verkrijgen.

De Chrome-extensie werd gewoon toegelaten door Google

Omdat de Google Chrome-extensie van de onderzoekers op zichzelf geen kwaadaardige code bevat, liet het techbedrijf de extensie zonder slag of stoot toe als een op ChatGPT-gebaseerde assistent in de Chrome Web Store.

En omdat er geen veiligheidsgrens is tussen de Google Chrome-extensies en de elementen van de site, hebben de extensies dus onbeperkte toegang tot de broncode. Hierdoor is het dus mogelijk voor extensies om de inhoud ervan te bemachtigen.

Google lanceerde onlangs het Manifest V3-protocol voor Chrome-extensies, om misbruik met API’s te beperken. Toch lijkt het erop dat de techgigant aan de bak moet om te voorkomen dat Chrome-extensies zonder geldige reden toegang hebben tot de wachtwoorden van verschillende websites.

Flink wat websites slaan hun wachtwoorden op in de broncode

Uit nader onderzoek bleek dat 1.100 van de 10.000 meest bezochte websites hun wachtwoorden opslaan in zichtbare tekst in de HTML-broncode van de site. Hierdoor kunnen Google Chrome-extensies wachtwoorden in leesbare tekst ophalen uit deze code.

De Chrome Web Store van Google
Veel extensies zijn in staat om wachtwoorden uit te lezen. (Screenshot: WANT)

Meer dan 17.000 extensies in de Chrome Web Store zouden hiertoe in staat zijn. Dat is ongeveer 12,5 procent van het totale aanbod. Veel van deze extensies hebben bovendien miljoenen installaties, waaronder populaire adblockers en winkel-apps.

Onder meer grote, populaire websites, zoals gmail.com, facebook.com en amazon.com zouden gevoelig zijn voor wachtwoorddiefstal door middel van een Google Chrome-extensie zoals die de onderzoekers ontwikkelden.

https://www.want.nl/ios-17-einde-wachtwoorden-iphone/

Foutje gezien? Mail ons. Wij zijn je dankbaar.

Het beste wat tech en culture te bieden heeft 🚀

De laatste ontwikkelingen iedere vrijdag in je mailbox? WANT houdt je op de hoogte!

Onderwerpen