Studiuesit e Universitetit të Wisconsin-Madison kanë zhvilluar një analizë të konceptit të plug-in-eve të Chrome që zbulon dobësi alarmante në sigurinë në web.
Plug-in-et e tyre mund të vjedhin fjalëkalime direkt nga kodi burimor i një faqeje interneti, duke nxjerrë në pah modelin e pamjaftueshëm të sigurisë së Chrome, dhe praktikat e dobëta të përhapura të sigurisë në faqet kryesore të internetit.
Çështja thelbësore buron nga plug-in-et e Chrome që kanë akses të pakufizuar në të dhënat e një faqeje interneti. Kjo qasje e pakufizuar lejon çdo plug-in të fshijë të dhëna të ndjeshme, të tilla si fjalëkalimet e përdoruesit, direkt nga kodi themelor i faqes së internetit.
Studiuesit zbuluan se faqet e internetit, duke përfshirë portalet e caktuara të Google dhe Cloudflare, janë çuditërisht të dobëta në këtë drejtim, duke ruajtur fjalëkalimet e përdoruesve brenda kodit të tyre burimor HTML.
Por nuk ndalet me kaq. Një plug-in mund të shfrytëzojë API-në për të rrëmbyer fjalëkalimet e përdoruesit kur ato futen, madje edhe duke anashkaluar çdo masë mbrojtëse që mund të ketë implementuar një web.
Ndërkohë që protokolli Manifest V3, i miratuar së fundi i Google Chrome, i shtrëngon disa sjellje abuzive nga plug-in-et, ai nuk arrin të krijojë një kufi të rëndësishëm sigurie midis faqeve të internetit dhe plug-in-eve. Rezultati? Dera mbetet e hapur për plug-in-et e Chrome për të rrëmbyer të dhëna të ndjeshme.
Studimi gjithashtu përcaktoi shkallën e problemit. Një skanim i 10,000 faqeve kryesore të internetit zbuloi se afërsisht 1,100 ruajnë fjalëkalimet e përdoruesve. 7300 të tjerë janë të cenueshëm ndaj nxjerrjes direkte të fjalëkalimeve nëpërmjet API.
Për më tepër, studiuesit identifikuan 190 plug-in-e, disa me mbi 100,000 shkarkime, që duket se po shfrytëzojnë këtë problematikë sigurie duke hyrë drejtpërdrejt në server-at e ruajtjes së fjalëkalimit.
Ky studim ngre çështje të rëndësishme si për zhvilluesit ashtu edhe për përdoruesit, duke nënvizuar nevojën urgjente për një rishikim të praktikave të sigurisë në internet. Për momentin, tregohuni të kujdesshëm kur shkarkoni plug-in-e të browser-ave dhe qëndroni vigjilentë se ku vendosni informacione të ndjeshme në internet.
