Votre extension de navigateur préférée vole peut-être vos mots de passe

partners

Votre extension de navigateur préférée vole peut-être vos mots de passe

points principaux

La plupart des extensions du Chrome Web Store nécessitent des autorisations dangereuses qui pourraient être utilisées à des fins malveillantes.
Tous les navigateurs Web sont aux prises avec des extensions capricieuses.
Manifest V3 de Google est l’une de ces solutions, qui résout certains problèmes mais offre peu de contrôle sur les autorisations disponibles pour les extensions.

NicoElNino/Getty Images

Vous souvenez-vous de l’extension de navigateur correcteur orthographique qui vous demandait de lire et d’analyser tout ce que vous avez tapé ? Certaines extensions sont susceptibles d’abuser de votre consentement pour voler les mots de passe que vous entrez dans votre navigateur Web, ont averti des experts en cybersécurité.

Pour aider les utilisateurs à comprendre les dangers des extensions Web, la société de sécurité numérique Talon a analysé le Chrome Web Store et a signalé que des dizaines de milliers d’extensions ont accès à des autorisations inquiétantes, telles que la modification des données sur tous les sites Web visités, le téléchargement de fichiers, l’accès à l’activité de téléchargement et Suite.

« De nombreuses extensions populaires mettent les utilisateurs en danger », a expliqué Ohad Bobrov, co-fondateur et CTO de Talon Cyber Security, à ledigitalpost par e-mail. « [Even] Les extensions bénignes peuvent présenter des vulnérabilités dans leur code ou leur chaîne d’approvisionnement et être vulnérables à la prise de contrôle par des acteurs malveillants. »

Expansion volontaire

skylarvision / 32 Images / Pixabay

Talon estime que les extensions offrent une grande valeur à leurs utilisateurs et apportent de nombreuses fonctionnalités utiles aux navigateurs Web, telles que le blocage des publicités, la vérification orthographique, la gestion des mots de passe, etc. Cependant, afin d’apporter ces fonctionnalités, les extensions nécessitent de larges autorisations pour modifier le navigateur, son comportement et les sites Web visités.

« Naturellement, ce niveau de contrôle et d’accès par des acteurs tiers peut constituer une menace importante pour la sécurité et la confidentialité des utilisateurs », a expliqué Talon.

La société a ajouté que malgré le processus de vérification de Google, de nombreuses extensions malveillantes parviennent à se déplacer et finissent par nuire à des millions d’utilisateurs. Son analyse montre que plus de 60 % de toutes les extensions du Chrome Web Store sont autorisées à lire ou à modifier les données et l’activité des utilisateurs.

Par exemple, Talon dit que les vérificateurs d’orthographe et de grammaire demandent l’autorisation d’injecter des scripts qui s’exécutent à partir du contexte d’une page Web pour analyser le texte d’un utilisateur. Ils le font généralement en vérifiant les champs de saisie ou en enregistrant autrement les frappes de l’utilisateur. Cela permet effectivement à l’extension de collecter et de divulguer toutes les informations sur une page Web, y compris les mots de passe et autres données sensibles, a déclaré la société.

Ensuite, il y a le blocage des publicités, qui constitue certaines des principales extensions du Chrome Web Store. Cette fonctionnalité implique la suppression d’éléments de la page et nécessite les mêmes autorisations que le correcteur orthographique.

On ne sait pas quelles données ont été divulguées, mais cela aurait pu voler n’importe quoi sur n’importe quelle page, y compris des mots de passe.

De même, les autorisations accordées aux extensions de partage d’écran et de visioconférence pour effectuer les tâches prévues pourraient également être utilisées de manière abusive pour capturer l’écran et l’audio de l’utilisateur.

« Deux vulnérabilités ont été découvertes dans uBlock Origin au cours des derniers mois, permettant à un attaquant d’exploiter les autorisations de l’extension pour lire et modifier des données sur tous les sites et voler des informations utilisateur sensibles », nous a expliqué Bobrov.

« Les bloqueurs de publicités comme uBlock Origin sont très populaires et ont généralement accès à toutes les pages qu’un utilisateur visite. Dans les coulisses, ils sont alimentés par des listes de filtres fournies par la communauté – des sélecteurs CSS qui déterminent les éléments à bloquer. Ces listes ne sont pas entièrement fiables, ils doivent donc empêcher les règles malveillantes de voler les données des utilisateurs », a écrit le chercheur en sécurité Gareth Heyes dans une démonstration de l’utilisation d’une vulnérabilité dans l’extension pour voler des mots de passe.

Bobrov a également partagé qu’en 2019, la populaire extension The Great Suspender avec plus de 2 millions d’utilisateurs a été achetée par un acteur malveillant qui a ensuite exploité ses autorisations pour injecter des scripts afin d’exécuter du code hébergé à distance non censuré dans des pages Web.

« On ne sait pas quelles données ont été divulguées », a-t-il déclaré, « mais cela aurait pu voler n’importe quoi sur n’importe quelle page, y compris des mots de passe ».

pas de vraie solution

Richy Great / Unsplash

Chrome et pratiquement tous les autres principaux navigateurs Web s’efforcent de réduire les risques de sécurité posés par les extensions, a déclaré Bobrov, non seulement en améliorant le processus de révision, mais également en limitant la fonctionnalité de certaines extensions.

L’une des dernières initiatives évoquées par Bobrov est le Manifest V3 de Google. Pour les utilisateurs réguliers, la différence la plus notable que Manifest V3 apporte aux extensions est une interdiction complète du code hébergé à distance et un changement dans la façon dont les extensions modifient les requêtes Web, a-t-il déclaré. Cependant, il a ajouté que l’inconvénient de Manifest V3 est qu’il a été critiqué pour avoir gravement gêné les bloqueurs de publicités.

« Les tendances les plus importantes sont la réduction des failles de sécurité, l’augmentation de la visibilité et du contrôle de l’utilisateur final (par exemple, quels sites autorisent l’exécution des extensions) et l’interdiction du code non censurable des extensions », a déclaré Bobrov. « Certaines de ces modifications sont incluses dans Manifest V3 de Google. Cependant, aucune de ces modifications ne modifie de manière significative les autorisations disponibles pour les extensions. »

Merci de nous en informer!

Recevez chaque jour les dernières actualités technologiques

abonnement

Dites-nous pourquoi !

D’autres ne sont pas assez détaillés pour comprendre

What's Hot

Pourquoi les gens devraient-ils contribuer à des projets open source ?

14 meilleurs outils de collaboration sans inscription que vous pouvez utiliser en 10 secondes

10 projets impressionnants pour débutants pour le BBC Micro: bit Board

Votre extension de navigateur préférée vole peut-être vos mots de passe

Pourquoi les gens devraient-ils contribuer à des projets open source ?

14 meilleurs outils de collaboration sans inscription que vous pouvez utiliser en 10 secondes

10 projets impressionnants pour débutants pour le BBC Micro: bit Board

Comment désactiver les flux algorithmiques sur Twitter, Instagram et Facebook

Pourquoi les gens devraient-ils contribuer à des projets open source ?

14 meilleurs outils de collaboration sans inscription que vous pouvez utiliser en 10 secondes

10 projets impressionnants pour débutants pour le BBC Micro: bit Board

Comment désactiver les flux algorithmiques sur Twitter, Instagram et Facebook

Qu’est-ce qu’une donnée EXIF ?3 façons de supprimer les métadonnées des photos

Comment voir quelles applications 32 bits pourraient bientôt cesser de fonctionner sur votre Mac

Subscribe to Updates

What's Hot

Votre extension de navigateur préférée vole peut-être vos mots de passe

points principaux

Expansion volontaire

pas de vraie solution

Related Posts