האם הרחבות דפדפן גונבות את הסיסמאות שלנו?
This post is also available in: 
English (אנגלית)
קבוצה של חוקרי אבטחה דיגיטלית באוניברסיטת ויסקונסין-מדיסון גילו כי בניגוד לאמונה הרווחת, הנתונים שלנו לא תמיד מוגנים כאשר אנו מקלידים הסיסמה או מספר כרטיס אשראי באתרי אינטרנט. אתרים פופולריים מסוימים פגיעים למגוון הרחבות דפדפן המסוגלות לחלץ נתוני משתמשים כמו סיסמאות, פרטי כרטיס אשראי ותעודות זהות מקוד HTML.
על פי אתר Techxplore, החוקרים גילו את הבעיה תוך כדי חקירת דפי ההתחברות של גוגל, וקבעו כי הם יכולים לראות את הסיסמה בטקסט רגיל בקוד המקור של ה-HTML, מה שגרם להם להמשיך ולהתעמק בנושא. הם גילו כי מספר עצום של אתרי אינטרנט מאחסנים מידע רגיש כטקסט רגיל בקוד המקור של ה-HTML, ובעוד שיש אמצעי אבטחה רבים המונעים מהאקרים לגשת לנתונים אלה, החוקרים טענו כי ייתכן שניתן יהיה לגשת אליהם באמצעות הרחבות דפדפן.
החוקרים מצאו כי הרחבת דפדפן זדונית יכולה להשתמש בקוד שנכתב בשפת תכנות פשוטה כדי להשיג את פרטי הכניסה של משתמשים, סיסמאות ונתונים מוגנים אחרים. הצוות סקר את ההרחבות הזמינות ל-Google Chrome ומצא כי לכ-17,300 (12.5%) מההרחבות הזמינות לדפדפן יש הרשאות שיכולות לנצל את החולשה הזאת.
על מנת לבדוק האם ניתן להחדיר הרחבת דפדפן זדונית להפצה ציבורית, הצוות פיתחו הרחבה משלהם והגישו אותה לחנות האינטרנט של Chrome. הם תיארו אותה כ-"עוזר AI המציע פונקציות כמו ChatGPT באתרי אינטרנט", והחנות אכן אישרה את ההרחבה.
אחד החוקרים, רישאב קנדלוול, טוען כי סביר שההאקר הממוצע לא יצור משהו מאפס אלא ישיג גישה להרחבות קיימות על ידי רכישת אחת עם משתמשים רבים ושינוי הקוד, ובכך ישמור על פונקציונליות ההרחבה ועדיין יקבל גישה למידע.
באופן מפתיע, נראה כי פגיעות זו אינה "הירדמות בשמירה", אלא אבטחת הדפדפן מוגדרת בדרך זו כדי לאפשר להרחבות ניהול סיסמאות לגשת למידע ולסיסמה. גוגל אף הגיבה לטענות החוקרים וציינה כי היא בודקת את העניין, אך שאינה רואה בכך פגם אבטחה, במיוחד אם ההרשאות עבור ההרחבות מוגדרות כראוי.
קאסם פוואז, פרופסור להנדסת חשמל ומחשבים ומוביל צוות המחקר, ציין כי הוא עדיין מודאג ומקווה שהמחקר שלו ישכנע את אתרי האינטרנט לחשוב מחדש על האופן שבו הם מטפלים במידע הרגיש הזה.
