Aggiornamenti recenti Settembre 10th, 2024 9:57 AM
Set 07, 2023 Marina Londei In evidenza, Minacce, News, RSS, Vulnerabilità 0
Alcuni ricercatori di sicurezza dell’Università di Wisconsin-Madison hanno dimostrato che le estensioni di Chrome sono in grado di ottenere le password inserite nei campi di testo dei siti web, anche quando l’estensione rispetta gli standard di sicurezza del browser.
Come riportato da Malwarebytes, i ricercatori hanno sviluppato un’estensione per dimostrare che Chrome è vulnerabile a questo tipo di attacchi, nonostante gli ultimi standard imposti da Manifest V3 per la gestione degli add-on.
I nuovi standard di sicurezza di Chrome vietano alle estensioni di scaricare codice aggiuntivo da siti web remoti, impedendogli di modificare le proprie funzionalità dopo che sono state installate.
Il problema, spiegano i ricercatori, è che l’interazione tra le estensioni e le pagine web non è cambiata: le estensioni possono ancora accedere agli elementi del DOM (la rappresentazione) della pagina, ovvero all’intero contenuto del sito, compresi gli input testuali dei form di login.
“Quando un’estensione viene caricata su un sito web viene integrata nell’albero del DOM, ottenendo accesso senza restrizioni a tutti gli elementi tramite specifiche API” affermano i ricercatori. “Ciò espone a un rischio di sicurezza critico – la mancanza di un confine sicuro tra l’estensione e i restanti elementi della pagina“.
Chiaramente il successo dell’operazione dipende molto da quanto il sito web è sicuro, ovvero se ha dei meccanismi di protezione per la lettura dei campi di testo. Non c’è da star tranquilli, però: i ricercatori spiegano che la maggior parte dei 10.000 siti web più visitati è vulnerabile all’attacco, e tra questi figurano Facebook, Gmail, Amazon e Google.
Per risolvere il problema i ricercatori propongono due strade: la prima, più difficile da perseguire perché andrebbe adottata da ogni pagina, consiste nell’aggiungere una libreria Javascript ai siti web per bloccare gli accessi indesiderati ai campi di login; la seconda consiste in un rimedio “built-in” di Chrome che avvisa gli utenti quando una qualsiasi funzione Javascript cerchi di accedere al campo della password.
Impossibile dire se e quando una delle due soluzioni verrà implementata; nel frattempo ciò che possono fare gli utenti è limitare il più possibile il numero di estensioni installate e scegliere solo quelle verificate.
Lug 23, 2024 0
Giu 27, 2024 0
Giu 19, 2024 0
Giu 18, 2024 0
Set 10, 2024 0
Set 09, 2024 0
Set 09, 2024 0
Set 06, 2024 0
Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Set 02, 2024 0
Il numero di attacchi alle applicazioni e alle API è in...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 10, 2024 0
I ricercatori di ESET hanno individuato una campagna ai...Set 09, 2024 0
I ricercatori di Pathstack hanno individuato una nuova...Set 09, 2024 0
Nell’ultima settimana, il CERT-AGID (Computer...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...