Según una sorprendente revelación de investigadores de la Universidad de Wisconsin-Madison, se ha descubierto que las extensiones de Google Chrome son capaces de robar contraseñas en texto claro directamente de sitios web.
Se encontró que una proporción significativa de sitios web populares, incluyendo portales destacados, incrustaban contraseñas en texto claro en el código fuente HTML de sus páginas web, poniendo en peligro a millones de usuarios ante amenazas cibernéticas.
El problema central surge de la práctica generalizada de otorgar permisos excesivos a las extensiones del navegador. Estos permisos conceden acceso sin restricciones al árbol DOM de los sitios web cargados, proporcionando a las extensiones acceso sin trabas a datos potencialmente sensibles, como campos de entrada de usuario.
Según el equipo de la Universidad, el modelo de permisos simplista que sustenta las extensiones de Chrome entra en conflicto fundamentalmente con los principios de privilegio mínimo y mediación completa. Esto significa que las extensiones pueden acceder a datos visibles en el código fuente de un sitio web y eludir las medidas de ofuscación que los sitios web establecen para proteger datos sensibles.
Para demostrar la magnitud del riesgo, el equipo de investigación subió una extensión de prueba de concepto (PoC) a la Chrome Web Store disfrazada como un asistente basado en GPT. La extensión tenía la capacidad de:
- Capturar el código fuente HTML cuando los usuarios intentaban iniciar sesión, utilizando expresiones regulares.
- Utilizar selectores CSS para señalar campos de entrada específicos y obtener información del usuario a través de la función «.value».
- Sustituir campos basados en JS de manera ofuscada con campos de contraseña no protegidos mediante la sustitución de elementos.
- Esta extensión de PoC, aunque carecía de código abiertamente malicioso, era hábil para la extracción de datos y eludía fácilmente las herramientas de detección estática de Google.
Alarmantemente, también cumplía con el protocolo Manifest V3 de Google Chrome, una implementación reciente destinada a frenar el abuso de API. A pesar de estas salvaguardias, la extensión logró pasar la revisión de seguridad de Google y estuvo brevemente alojada en la Chrome Web Store antes de que los investigadores la retiraran.
Según el detallado informe de los investigadores, asombrosamente, 1,100 de los 10,000 principales sitios web corren el riesgo de exponer contraseñas en texto claro almacenadas dentro del DOM HTML.
Adicionalmente, 7,300 sitios web son susceptibles de acceso a la API del DOM, abriendo la puerta a adversarios cibernéticos para robar los valores de entrada en bruto de los usuarios. Para empeorar esta pesadilla de seguridad, alrededor de 17,300 extensiones actualmente en la Chrome Web Store tienen los permisos necesarios para sustraer datos sensibles de los usuarios.
Ante estos hallazgos, se insta a los usuarios a tener precaución al descargar extensiones y a actualizar regularmente sus contraseñas. Los equipos de seguridad de Chrome, junto con otros desarrolladores de navegadores y propietarios de sitios web, sin duda enfrentarán presiones para mejorar sus protocolos de seguridad de extensiones y abordar este problema extendido y profundamente preocupante.