Google Chrome Extensions必須在Chrome網絡商店中容納 – 矽,成千上萬的Google Chrome Extensions將能夠竊取您的密碼
成千上萬的Google Chrome擴展名可以竊取您的密碼
Contents
一個主要風險,因為這些密碼然後可以用於航班,身份盜竊和其他各種騙局. 這些擴展不是病毒:據威斯康星大學麥迪遜分校的研究人員說,問題實際上是來自網站本身.
Google Chrome Extensions必須在網絡商店Chrome上託管
Web瀏覽器 谷歌瀏覽器 繼續遭受 某些放置的攻擊開發人員實施不良擴展, 例如,允許插入霧器頁面中的廣告,或捕獲導航數據.
Google已經試圖在2月份解決的問題 Chrome 25. 這個版本 確實禁止無聲安裝 (也就是說,如果沒有被告知用戶)關於霧器內的擴展(請參閱“ Google Chrome 25提供語音識別,清潔擴展並確保研究”))).
A 明顯不足 由於不必要的擴展程序隨著無聲安裝而繼續擴散. Google工程師決定提高基調,宣布 只能安裝網絡商店Chrome上託管的擴展名 在穩定版本和鉻beta中.
加強安全..
這個決定不會首先關注 該應用程序的Windows版本 – 這仍然是受此現象影響最大的 – 將於2014年1月生效.
因此,從第三方網站或計算機硬盤驅動器安裝擴展. Google將能夠更好地控制擴展安裝過程,這些模塊的無聲安裝是從網絡商店Chrome中不可能的.
應當指出的是,那些採用初步版本的Chrome和開發其他模塊的人將能夠直接從其機器(或其他網站以外的網站Chrome)直接安裝擴展名。.
這種可能性也將仍然可以使用 使用小組規則進行內部部署自己擴展的公司.
圖片來源:©Google
成千上萬的Google Chrome擴展名可以竊取您的密碼
超過17.根據研究.
如果您使用Google Chrome,您可能已經下載了擴展名,這些程序添加了許多功能非常有用的基本瀏覽器. 當心,因為他們可以竊取您的密碼.
這不是Epiphenomenon. 根據8月30日在ARXIV預先出版網站上發布的一項研究,可在Google Chrome商店上下載的數千個可下載的擴展名可以恢復您在網站上輸入的密碼的必要授權。.
一個主要風險,因為這些密碼然後可以用於航班,身份盜竊和其他各種騙局. 這些擴展不是病毒:據威斯康星大學麥迪遜分校的研究人員說,問題實際上是來自網站本身.
清晰可讀的密碼
這些網站的很大一部分存儲您在其HTML代碼中輸入的密碼,並清除. 也就是說,沒有任何修改,並以人為或一個程序完全可讀的方式進行修改.
但是,根據專用網站滲透計算機傳達的文本的作者,許多Chrome擴展程序可以間接諮詢網站的HTML代碼,因此可以傳達密碼。. 將近17歲.根據該研究.
為了支持他們的結論,研究人員嘗試了經驗. 他們創建了一個鍍鉻擴展,能夠根據所述方法竊取其用戶的密碼,並試圖使Google Extensions Store上的用戶可以使用它.
該程序通過協助虛擬提供類似於ChatGpt功能的虛擬偽裝而來,沒有問題,該程序驗證網絡商店Chrome的過程. 因此,他可能會從所有會下載它的用戶中偷走密碼 – 研究人員解釋說,他們已禁用了該數據的收集並迅速刪除了Chrome Store的應用,但是所有程序員都不是太過道德的.
Gmail和Facebook等網站
而且有很多機會:在10個.000個訪問量最多的網站,大約1個.研究人員說,100在其HTML代碼中清晰記錄密碼. 諸如Gmail,Facebook或Amazon之類的大牌 – 以及7.300其他人會有類似的漏洞.
在沒有用戶的知識的情況下,已經利用了此技術? 研究作者已經確定了已經存儲密碼的190個擴展程序. Google發言人說,使用Bleeping Computer,該公司正在研究這種情況,但回憶說,Google Chrome Extensions的FAQ,只要授權已合法獲得,這不是一個安全問題.