Chrome 扩展曝严重安全漏洞,可获取登陆用户名与密码
2010年7月10日
发表评论
Chrome 的安全性一直被认为业界最为优秀的,然而现在似乎真的遇到了严重问题了,因为黑客可以通过任意一个扩展得到你登陆网站的用户名与密码。由于该漏洞的发现者已经将具体的方法公开,所以你在安装扩展时不得不格外小心,也许当你安装一个 Chrome 扩展时,你已经被攻击了。
曝光这个漏洞的是一名叫做 Andreas Grech 的程序员,他通过在扩展中加入一段 jQuery 代码用来抓取用户的登陆信息,然后将登陆信息通过电子邮件发送给自己。他宣称已经测试了这个扩展,并可以成功得到 Twitter、Gmail、FaceBook 以及其他网站的用户名与密码。下面是引用他博客中的部分内容:
Chrome 浏览器允许安装第三方扩展程序以扩展浏览器并给浏览器加入新的功能,扩展使用 JavaScript 以及 HTMl 编写并允许互相访问和控制 DOM。
因为允许访问 DOM,攻击者就可以读取表单字段中的内容,包括用户名以及密码字段,这就是让我冒出做这个原型想法的原因。
我这里放出的这个扩展很简单,每当用户提交一个表单时,扩展就尝试去获取用户名与密码字段,通过 Ajax 调用发送一封带有详细登陆信息以及登陆地址的邮件给我,然后正常的处理和提交表单,以免被用户发现。
有些人可能会怀疑他所说的真实性,而为了证明这一点,Andreas Grech 在他的博客上放出了该扩展的所有原始代码,并详细讲解了每一段代码的作用,所以真实性毋庸置疑。
从某种程度上来说,我们所有人都应当感谢 Grech 找到这个漏洞并证明了它的真实存在。现在,我们只希望 Google 能在最快的时间内修正这个严重的问题。
Via TheNextWeb
除非特别声明,本站文章均为Chrome迷原创编译
我们欢迎任何形式的转载,但请务必注明出处,尊重他人的劳动就是尊重自己
转载文章请注明:文章转载自:Chrome迷 (http://www.chromi.org)
本文标题:Chrome 扩展曝严重安全漏洞,可获取登陆用户名与密码
本文地址:http://www.chromi.org/archives/5919
我们欢迎任何形式的转载,但请务必注明出处,尊重他人的劳动就是尊重自己
转载文章请注明:文章转载自:Chrome迷 (http://www.chromi.org)
本文标题:Chrome 扩展曝严重安全漏洞,可获取登陆用户名与密码
本文地址:http://www.chromi.org/archives/5919
各位辛勤的程序员们赶紧行动起来吧,干掉这个BUG
太可怕了!谢谢提醒!
可以通过任意一个扩展得到你登陆网站的用户名与密码?我表示怀疑。
这个应该是插件制作本身API密码的问题
没有采用OAuth
像新浪微博的chrome插件Coriander 也没有采用大多数网友自己开发的好像都没有~
@flyskyz 它说的是只要扩展作者在自己的扩展中加入这一段代码就可以
@cjc1021 你不妨去好好研究一下那个代码,然后写个研究成果出来分享给大家看看哈
这个不奇怪的,因为用户可以授权扩展使用所有网站的数据。大家安装扩展的时候要注意弹出来的权限提醒,发现可疑的直接取消安装。
@Ookong 要怎么留意?怎样才能确定某个扩展到底需要什么权限?
这叫什么 bug,拓展有权限访问 DOM 就当然能取到信息,Cross-Origin 的 ajax 请求是需要在 permissions 中作配置的,安装的时候需要用户确认的。
…真的这么恐怖??…不知道什么时候修正
这种东西就不应该能通过官方扩展审核吧。。。
举一个不知道恰当不恰当的例子:如果在windows上自己点击执行了带有format c:的批处理,能赖这是windows的漏洞吗?
“因为黑客可以通过任意一个扩展得到你登陆网站的用户名与密码”,真的可以利用任意一款插件,甚至是Google自己开发的插件进行盗取用户名、密码?!不可能吧,是不是作者你放大了问题。我想问题是:安装了特定的、带有这恶意代码的插件才会导致这个问题的出现,是不是这样子?麻烦管理员回答一下。
这一篇写的还可以吧,不过还是支持你!
@flyskyz
不管从什么地方安装打包的扩展,都会有弹出框,告诉你扩展需要什么权限,一般有历史、特定网站、地址位置、桌面提醒、所有网站等。最可怕的是“所有网站”。
@olz3
你的理解是准确的,其实只要像9楼说的那样只要不同意执行跨站点的ajax就可以避免用户名密码邮寄给别人。