Мальтийский специалист Андреас Грэх обратил внимание общественности на
очередную брешь безопасности в веб-браузере Google Chrome. Уязвимость была
обнаружена в новой функции Google Chrome, позволяющей сторонним разработчикам
создавать расширения на JavaScript и HTML с возможностью доступа к объектам DOM.
Доступ к объектной модели документа позволяет плагину получить значения
каких-либо полей форм на любом из открытых веб-сайтов, не исключением являются
поля ввода логина и пароля. В рамках своей публикации, Андреас Грэх подробно
рассматривает
пример реализации простейшего расширения для Google Chrome, позволяющего
реализовать описанный функционал. Для создания экспериментального плагина
использовалась технология AJAX и библиотека jQuery. Созданное в итоге расширение
отлично справлялось с перехватом логина и пароля доступа на Gmail, Facebook,
Twitter и других популярных веб-ресурсах. Таким образом, у любого расширения,
установленного в Google Chrome появляется возможность шпионить за вводимыми
логинами и паролями. Единственным способом обеспечения собственной безопасности
является отказ от использования расширений сомнительных разработчиков, но никто
не мешает разработчикам использовать эту уязвимость и в популярных расширениях
для веб-браузера Google Chrome.
