Forskare vid University of Wisconsin-Madison varnar användare av webbläsaren Chrome att tillägg kan användas för att stjäla lösenord. I ett experiment visade forskarna att detta är möjligt genom att ladda upp ett tillägg i Chromes tilläggsbutik, vilket gjorde det möjligt att stjäla lösenord som oformaterad text i HTML-kod.
Koncepttestet i fråga möjliggjorde forskarna att lägga vantarna på lösenord webbapplikationer som Gmail, Facebook, Amazon, Cloudflare samt en rad andra populära sajter. Huruvida möjligheten använts brett är för tillfället okänt, men vid närmare titt hade 12,5 procent av de 17 300 tillgängliga Chrome-tilläggen liknande behörighet att lägga vantarna på lösenord.
Bland dessa återfanns flera populära annonsblockerare och shoppingapplikationer med miljoner nedladdningar. Vidare hittades 190 tillägg, vissa med över 100 000 nedladdningar, som hade direkt tillgång till lösenordsfält, vilket kan vara en indikator att säkerhetshålet redan har utnyttjats.
Till Bleeping Computer berättar talesperson från Google att risken att utsättas för problem är låg. Detta då företaget inte anser att tilläggs tillgång till lösenordsfält inte är ett säkerhetsproblem, så länge användaren godkänt behörighet.
Har du koll på dina Chrome-tillägg?
