La Universidad de Wisconsin, Madison de Estados Unidos, reveló que el 12,5% de las extensiones de Chrome, Firefox y Safari pueden extraer información confidencial. Los navegadores podrían obtener información de páginas web, afectando la privacidad de los usuarios.
De acuerdo con los investigadores en el análisis de la seguridad de los campos de entrada de texto en los navegadores web, pudieron encontrar que “el modelo de permisos de grano grueso de los navegadores viola dos principios de diseño de seguridad: privilegio mínimo y mediación completa”.
Asimismo explica que descubrieron dos «vulnerabilidades en los campos de entrada, incluido el alarmante descubrimiento de contraseñas en texto sin formato dentro del código fuente HTML de la página web».
Cabe recordar que las extensiones de navegador son pequeñas aplicaciones que mejoran las capacidades de los navegadores web y la experiencia del usuario. Pueden agregar nuevas funciones, modificar el contenido de la página web y automatizar tareas.
Te puede interesar: ¡Ojo! La mayoría de ciberamenazas llegan por correos electrónicos y descargas de navegación
Muchos de nosotros en algún momento hemos enlazado estas extensiones a nuestro buscador, lo que ignorábamos era cómo estas pueden afectar nuestra privacidad.
Los científicos pudieron demostrar «el impacto de estas vulnerabilidades en el mundo real», para lograrlo diseñaron una extensión de prueba de concepto, «aprovechando técnicas de ataques de inyección de código estático y dinámico para evitar el proceso de revisión de la tienda web. Nuestras mediciones y estudios de casos revelan que estas vulnerabilidades prevalecen en varios sitios web, con información confidencial del usuario, como contraseñas, expuesta en el código fuente HTML incluso de sitios de alto tráfico como Google y Cloudflare”.
Algunos resultados fueron que “12,5% de las extensiones posee los permisos necesarios para explotar estas vulnerabilidades e identificamos 190 extensiones que acceden directamente a los campos de contraseña”.
¿Qué proponen los investigadores?
El documento señala que para no ser víctimas y que nuestra información privada no quede expuesta, es necesario por un lado, incluir un paquete de JavaScript por parte de los desarrolladores de sitios web que les permita proteger “los campos de entrada confidenciales, y una solución a nivel de navegador que alerta a los usuarios cuando una
extensión accede a campos de entrada confidenciales”. Así mismo implementar una versión modificada de Chrome que notifica a los usuarios cuando se accede a un campo de contraseña.
