Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Set 07, 2023 Marina Londei In evidenza, Minacce, News, RSS, Vulnerabilità 0
Alcuni ricercatori di sicurezza dell’Università di Wisconsin-Madison hanno dimostrato che le estensioni di Chrome sono in grado di ottenere le password inserite nei campi di testo dei siti web, anche quando l’estensione rispetta gli standard di sicurezza del browser.
Come riportato da Malwarebytes, i ricercatori hanno sviluppato un’estensione per dimostrare che Chrome è vulnerabile a questo tipo di attacchi, nonostante gli ultimi standard imposti da Manifest V3 per la gestione degli add-on.
I nuovi standard di sicurezza di Chrome vietano alle estensioni di scaricare codice aggiuntivo da siti web remoti, impedendogli di modificare le proprie funzionalità dopo che sono state installate.
Il problema, spiegano i ricercatori, è che l’interazione tra le estensioni e le pagine web non è cambiata: le estensioni possono ancora accedere agli elementi del DOM (la rappresentazione) della pagina, ovvero all’intero contenuto del sito, compresi gli input testuali dei form di login.
“Quando un’estensione viene caricata su un sito web viene integrata nell’albero del DOM, ottenendo accesso senza restrizioni a tutti gli elementi tramite specifiche API” affermano i ricercatori. “Ciò espone a un rischio di sicurezza critico – la mancanza di un confine sicuro tra l’estensione e i restanti elementi della pagina“.
Chiaramente il successo dell’operazione dipende molto da quanto il sito web è sicuro, ovvero se ha dei meccanismi di protezione per la lettura dei campi di testo. Non c’è da star tranquilli, però: i ricercatori spiegano che la maggior parte dei 10.000 siti web più visitati è vulnerabile all’attacco, e tra questi figurano Facebook, Gmail, Amazon e Google.
Per risolvere il problema i ricercatori propongono due strade: la prima, più difficile da perseguire perché andrebbe adottata da ogni pagina, consiste nell’aggiungere una libreria Javascript ai siti web per bloccare gli accessi indesiderati ai campi di login; la seconda consiste in un rimedio “built-in” di Chrome che avvisa gli utenti quando una qualsiasi funzione Javascript cerchi di accedere al campo della password.
Impossibile dire se e quando una delle due soluzioni verrà implementata; nel frattempo ciò che possono fare gli utenti è limitare il più possibile il numero di estensioni installate e scegliere solo quelle verificate.
Apr 18, 2024 0
Apr 04, 2024 0
Mar 14, 2024 0
Feb 19, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...