Websites podem roubar dados do navegador por meio de APIs de extensões

Os sites mal-intencionados podem explorar as APIs de extensões do navegador para executar códigos dentro do navegador e roubar informações confidenciais, como favoritos, histórico de navegação e até mesmo cookies de usuários.

O último, um invasor pode usar para sequestrar as sessões de login ativas de um usuário e acessar contas confidenciais, como caixas de entrada de email, perfis de mídia social ou contas relacionadas ao trabalho.

Além disso, as mesmas APIs de extensão também podem ser violadas para acionar o download de arquivos mal-intencionados e armazená-los no dispositivo do usuário, além de armazenar e recuperar dados no armazenamento permanente de uma extensão, dados que podem ser usados ​​posteriormente para rastrear usuários na web.

Esses tipos de ataques não são teóricos, mas foram comprovados em um artigo acadêmico publicado este mês por Dolière Francis Somé, pesquisador da Université Côte d’Azur e do INRIA, instituto de pesquisa francês.

A Somé criou uma ferramenta e testou mais de 78.000 extensões do Chrome, Firefox e Opera. Através de seus esforços, ele foi capaz de identificar 197 extensões que expuseram interfaces de comunicação de API de extensão interna para aplicativos da Web, permitindo que sites maliciosos desviassem diretamente os dados armazenados no navegador do usuário, dados que em circunstâncias normais somente o próprio código da extensão poderia ter atingido. (quando as permissões apropriadas foram obtidas).

Resultados de ataques de extensão do navegador
Imagem: Somé

O pesquisador francês diz que ficou surpreso com os resultados, uma vez que apenas 15 (7,61%) das 197 extensões eram ferramentas para desenvolvedores, uma categoria de extensões que geralmente têm controle total sobre o que acontece em um navegador, e teriam sido as que ele esperado eram mais fáceis de explorar.

Cerca de 55% de todas as extensões vulneráveis ​​tinham menos de 1.000 instalações, mas mais de 15% tinham mais de 10.000.

Resultados, extensões organizadas por categoria
Imagem: Somé

Somé disse que notificou os vendedores de navegadores sobre suas descobertas antes de ir a público com seu trabalho no início de janeiro.

“Todos os fornecedores reconheceram os problemas”, disse Somé. “O Firefox removeu todas as extensões relatadas. O Opera também removeu todas as extensões, mas duas que podem ser exploradas para acionar downloads.”

“O Chrome também reconheceu o problema nas extensões relatadas. Ainda estamos discutindo sobre possíveis ações a serem tomadas: remover ou corrigir as extensões”, disse ele.

O pesquisador também criou uma ferramenta que permite aos usuários testar se suas extensões também contêm APIs vulneráveis ​​que podem ser exploradas por sites mal-intencionados. A ferramenta é baseada na web e hospedada nesta página . Para usá-lo, os usuários teriam que copiar e colar o conteúdo do arquivo manifest.json de uma extensão.

Uma página listando vários vídeos de demonstração está disponível aqui. Mais detalhes sobre o trabalho de Somé estão disponíveis em um artigo de pesquisa intitulado ” EmPoWeb: Capacitando aplicativos da Web com extensões de navegador “, disponível para download em formato PDF aqui ou aqui .

Seria altamente impraticável listar todas as extensões vulneráveis ​​deste artigo. Os leitores podem encontrar a lista de extensões vulneráveis ​​em tabelas no final dos trabalhos de pesquisa vinculados acima.

Fonte zdnet