Chrome 扩展曝严重安全漏洞,可获取登陆用户名与密码

Posted by Eyon on July 10, 2010

Chrome 的安全性一直被认为业界最为优秀的,然而现在似乎真的遇到了严重问题了,因为黑客可以通过任意一个扩展得到你登陆网站的用户名与密码。由于该漏洞的发现者已经将具体的方法公开,所以你在安装扩展时不得不格外小心,也许当你安装一个 Chrome 扩展时,你已经被攻击了。

曝光这个漏洞的是一名叫做 Andreas Grech 的程序员,他通过在扩展中加入一段 jQuery 代码用来抓取用户的登陆信息,然后将登陆信息通过电子邮件发送给自己。他宣称已经测试了这个扩展,并可以成功得到 Twitter、Gmail、FaceBook 以及其他网站的用户名与密码。下面是引用他博客中的部分内容:

Chrome 浏览器允许安装第三方扩展程序以扩展浏览器并给浏览器加入新的功能,扩展使用 JavaScript 以及 HTMl 编写并允许互相访问和控制 DOM。

因为允许访问 DOM,攻击者就可以读取表单字段中的内容,包括用户名以及密码字段,这就是让我冒出做这个原型想法的原因。

我这里放出的这个扩展很简单,每当用户提交一个表单时,扩展就尝试去获取用户名与密码字段,通过 Ajax 调用发送一封带有详细登陆信息以及登陆地址的邮件给我,然后正常的处理和提交表单,以免被用户发现。

有些人可能会怀疑他所说的真实性,而为了证明这一点,Andreas Grech 在他的博客上放出了该扩展的所有原始代码,并详细讲解了每一段代码的作用,所以真实性毋庸置疑。

从某种程度上来说,我们所有人都应当感谢 Grech 找到这个漏洞并证明了它的真实存在。现在,我们只希望 Google 能在最快的时间内修正这个严重的问题。

Via TheNextWeb