به گفته گروهی از محققان امنیت دیجیتال دانشگاه ویسکانسین-مدیسون، برخی از وبسایتهای محبوب در برابر افزونههای مرورگر آسیبپذیر هستند. درواقع برخی افزونهها میتوانند دادههای کاربر مانند رمزهای عبور، اطلاعات کارت اعتباری و برخی دادههای حساس دیگر را از کد HTML استخراج کنند.
«اسمیت نایاک»، دانشجوی دکترا، به همراه دو دانشجوی دیگر روی پروژهای کار میکنند تا روشهایی را که افزونههای مرورگر میتوانند رمز عبور و سایر دادههای حساس را از وبسایتهای محبوب استخراج کنند، مشخص نمایند.
کاربران انتظار دارند وقتی رمز عبور یا شماره کارت اعتباری خود را در یک وبسایت تایپ میکنند، این دادههای حساس در امنیت کامل ذخیره شوند. حالا اسمیت نایاک به همراه دو دانشجوی دیگر میگویند بررسیهای اولیه آنها نشان میدهد افزونههای مرورگر میتوانند گذرواژهها و اطلاعات حساس را بهصورت متن ساده ذخیره کنند.
محققان امنیت سایبری از آسیبپذیری افزونههای مرورگر خبر میدهند
محققان امنیت سایبری با بررسی صفحات ورود به وبسایتها این باگ امنیتی را کشف کردهاند. اسمیت نایاک میگوید: «ما فقط صفحات ورود به سیستم را بررسی کردیم و در کد منبع HTML توانستیم رمز عبور را بهصورت متن ساده ببینیم. موضوع برای ما جالب شد و میخواستیم بدانیم چرا این اتفاق میافتد؟ آیا ممکن است وبسایت های دیگر نیز کاری مشابه انجام دهند؟ سپس برای یافتن پاسخ این سؤال، بررسی را آغاز کردیم.»
این تیم دانشجویی یک باگ و مسئله بزرگ را کشف کرده است. محققان دریافتهاند که تعداد زیادی از وبسایتها (حدود 15 درصد از بیش از هفتاد هزار وبسایت) اطلاعات حساس را بهصورت متن ساده در کد منبع HTML خود ذخیره میکنند.
درواقع افزونههای مرورگر با استفاده از بیتهای کوچک کد، به کاربران اجازه میدهند تا تجربه اینترنتی خود را سفارشی کنند؛ برای مثال، با مسدودکردن تبلیغات یا بهبود مدیریت زمان، افزونهها خدماتی را ارائه میدهند. توسعهدهندگان مرورگر گاهی ویژگیهای آزمایشی را از طریق برنامههای افزودنی معرفی میکنند. درعینحال، توسعهدهندگان شخص ثالث نیز میتوانند برنامههای خود را در قالب افزونهها برای تستکردن در اختیار کاربران قرار دهند.
این تیم تحقیقاتی میگوید افزونههای مرورگر میتوانند از طریق کد نوشتهشده در زبان برنامهنویسی، اطلاعات ورود به سیستم، رمز عبور و سایر دادههای حساس را کپی کنند.