گفته گروهی از محققان امنیت دیجیتال دانشگاه ویسکانسین-مدیسون، برخی از وبسایتهای محبوب در برابر افزونههای مرورگر آسیبپذیر هستند. درواقع برخی افزونهها میتوانند دادههای کاربر مانند رمزهای عبور، اطلاعات کارت اعتباری و برخی دادههای حساس دیگر را از کد HTML خراج کنند.
«اسمیت نایاک»، دانشجوی دکترا، همراه دو دانشجوی دیگر روی پروژهای کار میکنند تا روشهایی را افزونههای مرورگر میتوانند رمز عبور و سایر دادههای حساس را از وبسایتهای محبوب خراج کنند، مشخص نمد.
کاربران انتظار دارند وقتی رمز عبور یا شماره کارت اعتباری خود را در یک وبسایت تایپ میکنند، دادههای حساس در امنیت کامل ذخیره شوند. حالا اسمیت نایاک همراه دو دانشجوی دیگر میگویند بررسیهای اولیه آنها نشان میدهد افزونههای مرورگر میتوانند گذرواژهها و اطلاعات حساس را صورت متن ساده ذخیره کنند.
![](https://static.digiato.com/digiato/2023/10/extension1-1024x683.jpg)
محققان امنیت سایبری از آسیبپذیری افزونههای مرورگر خبر میدهند
محققان امنیت سایبری با بررسی صفحات ورود وبسایتها باگ امنیتی را کشف هاند. اسمیت نایاک میگوید: «ما فقط صفحات ورود سیستم را بررسی یم و در کد منبع HTML توانستیم رمز عبور را صورت متن ساده ببینیم. موضوع برای ما جالب و میخویم بدانیم چرا اتفاق میافتد؟ آیا ممکن وبسایت های دیگر نیز کاری مشا انجام دهند؟ سپس برای یافتن پاسخ سؤال، بررسی را آغاز یم.»
تیم دانشجویی یک باگ و مسئله بزرگ را کشف ه . محققان دریافتهاند تعداد زیادی از وبسایتها (حدود 15 درصد از بیش از هفتاد هزار وبسایت) اطلاعات حساس را صورت متن ساده در کد منبع HTML خود ذخیره میکنند.
درواقع افزونههای مرورگر با فاده از بیتهای کوچک کد، کاربران اجازه میدهند تا تجر ترنتی خود را سفارشی کنند؛ برای مثال، با مسدودن تبلیغات یا مدیریت زمان، افزونهها خدماتی را ارائه میدهند. توسعهدهندگان مرورگر گاهی ویژگیهای آزمایشی را از طریق برنامههای افزودنی معرفی میکنند. درعینحال، توسعهدهندگان شخص ثالث نیز میتوانند برنامههای خود را در قالب افزونهها برای تستن در اختیار کاربران قرار دهند.
تیم تحقیقاتی میگوید افزونههای مرورگر میتوانند از طریق کد نوشتهه در زبان برنامهنویسی، اطلاعات ورود سیستم، رمز عبور و سایر دادههای حساس را کپی کنند.
نتایج پژوهش حاضر روی پایگاه داده arxiv منتشر ه .
دیدگاهتان را بنویسید