Google Chrome velik dio svoje popularnosti duguje stotinama proširenja koja proširuju njegovu funkcionalnost i čak čine pregledavanje sigurnijim za djecu i odrasle. Međutim, mnoga proširenja također mogu dohvatiti privatni sadržaj, poput e-pošte ili bankovnih podataka, što ih čini potencijalnom noćnom morom privatnosti za milijune korisnika. Sada je skupina istraživača kibernetičke sigurnosti dokazala da ljudi moraju biti razboriti dok instaliraju proširenja jer nisu sva sigurna za upotrebu.
Istraživači sa Sveučilišta Wisconsin-Madison stvorili su Chromeovu ekstenziju s dokazom koncepta koja je sposobna ukrasti otvorene lozinke iz HTML izvornih kodova gotovo svih web stranica. Rad koji su istraživači objavili prošli tjedan detaljno opisuje kako je sveobuhvatna analiza sigurnosti polja za unos teksta u web preglednicima otkrila da njihov “model grubih dopuštenja krši dva načela sigurnosnog dizajna: najmanje privilegije i potpuno posredovanje” .
Istraživači su također otkrili dvije ranjivosti u poljima za unos, uključujući otkrivanje lozinki u otvorenom tekstu unutar HTML izvora koda popularnih web stranica, kao što je gmail.com. Druge velike web stranice koje također pohranjuju otvorene lozinke unutar svog HTML izvornog koda uključuju Cloudflare, Facebook, Amazon, Citibank, Capital One i druge. Ono što situaciju čini još gorom je to što oko 12,5 posto ekstenzija u Chrome web trgovini posjeduje potrebne dozvole za iskorištavanje ovih ranjivosti, a uključuju neke od najpopularnijih blokatora oglasa i dodataka za kupnju.
Kako je izvijestio Bleeping Computer, ekstenzije preglednika često imaju neograničen pristup DOM stablu web stranica na koje se učitavaju, što potencijalno predstavlja opasnost za privatnost korisnika. To je zato što DOM API dopušta pristup osjetljivim elementima kao što su korisnička polja za unos, ostavljajući otvorena vrata za beskrupulozne programere da ga zlorabe kako bi izvukli povjerljive informacije koje je unio korisnik, zaobilazeći sve sigurnosne mjere koje primjenjuje stranica.