A vulnerabilidade existe devido à forma como essas extensões do navegador acessam o código das páginas da web, segundo pesquisadores.

Extensões do Chrome, navegador do Google, podem deixar dados pessoais (por exemplo: senhas e informações bancárias) vulneráveis a hackers, o que coloca em risco a privacidade dos usuários. É o que revelou um estudo, conduzido recentemente por pesquisadores da Universidade de Wisconsin-Madison, nos EUA.

Para quem tem pressa:

Um estudo da Universidade de Wisconsin-Madison alerta sobre extensões do Google Chrome podem deixar dados pessoais vulneráveis a hackers;
As extensões do navegador acessam o código-fonte de páginas da web, incluindo sites populares como Google e Amazon, criando oportunidades para invasores;
Medidas de proteção introduzidas pelo Google não foram suficientes para evitar o problema, porque não existe uma barreira sólida entre extensões e páginas da web;
Pesquisadores encontraram senhas em texto simples em arquivos HTML de páginas da web, destacando a gravidade da vulnerabilidade;
Sugestões para resolver o problema incluem adicionar código JavaScript às extensões para proteger informações sensíveis e implementar alertas para os usuários.

A vulnerabilidade existe devido à forma como essas extensões acessam o código das páginas da web, incluindo sites importantes – entre eles: Google, Amazon, Citibank, Capital One e o Serviço de Receita Interna dos EUA.

Os alertas, divulgados pelo site Tech Xplore, constam num relatório, publicado no servidor de pré-impressão arXiv recentemente.

Brechas nas extensões do Chrome

Mesmo com medidas de proteção introduzidas pelo Google, a ameaça persiste, segundo os pesquisadores. Embora haja limites mais rigorosos para o acesso de extensões às informações, não existe uma barreira de proteção sólida entre as páginas da web e as extensões do navegador, o que permite que invasores acessem dados sensíveis.

“Uma porcentagem significativa de extensões possui as permissões necessárias para explorar essas vulnerabilidades”. Asmit Nayak, aluno de graduação de Ciência da Computação na Universidade de Wisconsin-Madison

Nayak acrescentou que ele e seus dois colegas identificaram 190 extensões “que acessam diretamente campos de senha.” Eles descobriram senhas armazenadas em texto simples em arquivos de origem HTML de páginas da web, o que é preocupante.

Os pesquisadores até conseguiram identificar uma extensão que explorou essas vulnerabilidades e extraiu senhas em texto simples de sites, passando pelos controles de segurança da Chrome Web Store (a loja de extensões do navegador) do Google.
O que fazer, então?

Para resolver esse problema, os pesquisadores propuseram duas soluções. Primeiro, sugeriram a adição de um código JavaScript às extensões para proteger informações sensíveis. Segundo, propuseram um recurso de navegador que alerta os usuários quando uma tentativa de acesso a dados sensíveis ocorre.

Este estudo destaca a importância de fortalecer as medidas de segurança para proteger os dados dos usuários e enfatiza que a vulnerabilidade pode afetar sites importantes. A Amazon incentivou boas práticas de segurança, enquanto o Google informou que está investigando o problema.

Fonte: Olhar Digital por Pedro Borges Spadoni