23/09/2023

 https://dg.samrl.org/l?a4983

دراسة: ملحقات كروم تكشف عن خلل أمني كبير يعرض بيانات ملايين المستخدمين للخطر

الحقوق الرقمية |

وفقا لكشف مذهل من الباحثين في جامعة ويسكونسن ماديسون، تم العثور على ملحقات جوجل كروم قادرة على سرقة كلمات المرور ذات النص العادي مباشرة من مواقع الويب.

تم اكتشاف أن نسبة كبيرة من مواقع الويب الشهيرة، بما في ذلك البوابات البارزة، تقوم بتضمين كلمات مرور نصية عادية في كود مصدر HTML لصفحات الويب الخاصة بها، مما يجعل ملايين المستخدمين عرضة للتهديدات السيبرانية.

تنشأ المشكلة الأساسية من الممارسة واسعة النطاق المتمثلة في منح أذونات مفرطة لملحقات المتصفح. تمنح هذه الأذونات وصولاً غير مقيد إلى شجرة DOM لمواقع الويب المحملة، مما يوفر للملحقات وصولاً غير مقيد إلى البيانات التي يحتمل أن تكون حساسة، مثل حقول إدخال المستخدم.

وفقًا لفريق الجامعة، فإن نموذج الأذونات المبسط الذي يدعم ملحقات Chrome يتعارض بشكل أساسي مع مبادئ الامتياز الأقل والوساطة الكاملة. وهذا يعني أن الإضافات يمكنها الوصول إلى البيانات المرئية في التعليمات البرمجية المصدر لموقع الويب وتجاوز إجراءات التشويش التي تقوم مواقع الويب بإعدادها لحماية البيانات الحساسة.

ولتوضيح حجم المخاطرة، قام فريق البحث بتحميل ملحق إثبات المفهوم (PoC) إلى متجر Chrome الإلكتروني متنكرًا في هيئة مساعد يعتمد على GPT. كان للامتداد القدرة على:

1. التقط كود مصدر HTML عندما حاول المستخدمون تسجيل الدخول باستخدام regex.
2. ‏استخدم محددات CSS لتحديد حقول إدخال معينة وجمع مدخلات المستخدم من خلال وظيفة ".value".
3. ‏تبديل الحقول المبهمة المستندة إلى JS بحقول كلمة المرور غير المحمية عبر استبدال العناصر.

كان ملحق PoC هذا، على الرغم من افتقاره إلى تعليمات برمجية ضارة بشكل واضح، ماهرًا في استخراج البيانات، وتمكن من التحايل بسهولة على أدوات الكشف الثابتة من Google.

ومن المثير للقلق أنه امتثل أيضًا لبروتوكول Manifest V3 الخاص بـ Google Chrome، وهو تطبيق حديث يهدف إلى الحد من إساءة استخدام واجهة برمجة التطبيقات (API). وعلى الرغم من هذه الضمانات، فقد تجاوز الامتداد المراجعة الأمنية التي أجرتها Google وتمت استضافته لفترة وجيزة في سوق Chrome الإلكتروني قبل أن يسحبه الباحثون.

واستنادًا إلى البحث التفصيلي الذي أعده الباحثون ، فإن 1100 من أفضل 10000 موقع ويب معرضة لخطر كشف كلمات مرور النص العادي المخزنة داخل HTML DOM.

هناك 7300 موقع ويب إضافي عرضة للوصول إلى DOM API، مما يمهد الطريق أمام الخصوم السيبرانيين لسرقة قيم المدخلات الأولية للمستخدمين. ولمضاعفة هذا الكابوس الأمني، هناك حوالي 17300 ملحق موجود حاليًا في سوق Chrome الإلكتروني يتمتع بالأذونات اللازمة لسحب بيانات المستخدم الحساسة.

وفي ضوء هذه النتائج، نحث المستخدمين على توخي الحذر أثناء تنزيل الملحقات وتحديث كلمات المرور الخاصة بهم بانتظام. مما لا شك فيه أن فرق الأمان في Chrome، جنبًا إلى جنب مع مطوري المتصفح الآخرين ومالكي مواقع الويب، ستواجه ضغوطًا لتحسين بروتوكولات أمان الإضافات الخاصة بهم لمعالجة هذه المشكلة المنتشرة والمقلقة للغاية.

بواسطة: فلاد كونستانتينسكو | BitDefender