Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Set 07, 2023 Marina Londei In evidenza, Minacce, News, RSS, Vulnerabilità 0
Alcuni ricercatori di sicurezza dell’Università di Wisconsin-Madison hanno dimostrato che le estensioni di Chrome sono in grado di ottenere le password inserite nei campi di testo dei siti web, anche quando l’estensione rispetta gli standard di sicurezza del browser.
Come riportato da Malwarebytes, i ricercatori hanno sviluppato un’estensione per dimostrare che Chrome è vulnerabile a questo tipo di attacchi, nonostante gli ultimi standard imposti da Manifest V3 per la gestione degli add-on.
I nuovi standard di sicurezza di Chrome vietano alle estensioni di scaricare codice aggiuntivo da siti web remoti, impedendogli di modificare le proprie funzionalità dopo che sono state installate.
Pixabay
Il problema, spiegano i ricercatori, è che l’interazione tra le estensioni e le pagine web non è cambiata: le estensioni possono ancora accedere agli elementi del DOM (la rappresentazione) della pagina, ovvero all’intero contenuto del sito, compresi gli input testuali dei form di login.
“Quando un’estensione viene caricata su un sito web viene integrata nell’albero del DOM, ottenendo accesso senza restrizioni a tutti gli elementi tramite specifiche API” affermano i ricercatori. “Ciò espone a un rischio di sicurezza critico – la mancanza di un confine sicuro tra l’estensione e i restanti elementi della pagina“.
Chiaramente il successo dell’operazione dipende molto da quanto il sito web è sicuro, ovvero se ha dei meccanismi di protezione per la lettura dei campi di testo. Non c’è da star tranquilli, però: i ricercatori spiegano che la maggior parte dei 10.000 siti web più visitati è vulnerabile all’attacco, e tra questi figurano Facebook, Gmail, Amazon e Google.
Pexels
Per risolvere il problema i ricercatori propongono due strade: la prima, più difficile da perseguire perché andrebbe adottata da ogni pagina, consiste nell’aggiungere una libreria Javascript ai siti web per bloccare gli accessi indesiderati ai campi di login; la seconda consiste in un rimedio “built-in” di Chrome che avvisa gli utenti quando una qualsiasi funzione Javascript cerchi di accedere al campo della password.
Impossibile dire se e quando una delle due soluzioni verrà implementata; nel frattempo ciò che possono fare gli utenti è limitare il più possibile il numero di estensioni installate e scegliere solo quelle verificate.
Lug 23, 2024 0
Giu 27, 2024 0
Giu 19, 2024 0
Giu 18, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...