ブラウザのテキスト入力フィールドに関する脆弱(ぜいじゃく)性の分析により、大手企業や官公庁のサイトのHTMLソースコードに平文でパスワードが保存されていることが判明しました。問題を発見した専門家らは、試しに機密データを抜き取れるテスト用の拡張機能を作成したところ、いとも簡単にChromeウェブストアにアップロードできたと報告しています。
研究チームによると、今回特定された不具合は拡張機能がウェブページの内部コードにアクセスする方法に起因しているとのこと。多くのサイトは、HTMLなどで記述されたドキュメントをプログラムで操作できるようにするドキュメントオブジェクトモデル(DOM)という仕組みで動作していますが、拡張機能がこのDOMツリーに無制限にアクセスできてしまう問題により、ソースコード内にある機密データが容易に抜き出せるようになっていると研究チームは説明しています。
Googleは2023年に「マニフェスト V3」という仕様をChromeに導入し、拡張機能がアクセス可能な情報の種類に厳しい制限をかけましたが、マニフェスト V3は拡張機能とウェブページの間にセキュリティ境界をもうけていないため、問題の解消には至っていません。
研究チームは論文に「GoogleやAmazonなどの主要なオンラインマーケットプレイスは、クレジットカード入力フィールドに対していかなる保護も実装していません。これらのウェブサイトの規模と取引量を考慮すると、これらのウェブサイトが保護されていないことが特に懸念されます」と記しました。
https://gigazine.net/news/20230907-chrome-extensions-steal-passwords/
