Chrome consente l'istallazioni di terze parti che permettono di estendere le funzionalità del browser ma un hacker ha dimostrato che è meglio stare attenti a quali estensioni si istallano. I plugin sono infatti scritti in HTML e java script e consentono anche la manipolazione del DOM (Document Object Model).
Attraverso l'accesso al DOM, un utente malintenzionato può leggere i campi del modulo, compresi username e password, per questo ad Andreas Grech è venuta la voglia di provare se questa sua idea potesse essere dimostrata ed ha appunto creato il plug-in.
L'estensione, ogni volta che l'utente invia un modulo, cerca di catturare username e password e li invia ad Andreas Grech via 'email tramite chiamata Ajax ad uno script con i dati di login e l'url e poi procede ad inviare il modulo in modo normale per evitare il rilevamento.
Andreas Grech ha fatto varie prove con siti tipo Gmail, Facebook e Twitter e la procedura ha avuto successo. Sul suo sito mette anche il plug-in per chi vuole provarlo, ma sarebbe meglio toglierlo e che Google Chrome trovi il modo d'impedire queste manipolazioni del DOM.
Nessun commento:
Posta un commento