Google Chrome i detyrohet shumë nga popullariteti i tij qindra shtesave që zgjerojnë funksionalitetin e tij dhe madje e bëjnë shikimin e përmbajtjes më të sigurt për fëmijët dhe të rriturit. Megjithatë, shumë shtesa mund të depërtojnë gjithashtu në përmbajtje private, të tilla si informacionet e postës elektronike ose bankare, duke i bërë ato një makth të mundshëm privatësie për miliona përdorues.
Tani një grup studiuesish të sigurisë kibernetike kanë vërtetuar se njerëzit duhet të jenë të kujdesshëm kur instalojnë shtesa pasi jo të gjitha janë të sigurta për t’u përdorur.
Studiuesit në Universitetin e Wisconsin-Madison kanë krijuar një shtesë të konceptit të Chrome të aftë për të vjedhur fjalëkalime të hapura nga kodet burimore HTML të pothuajse çdo faqeje interneti. Një punim që studiuesit publikuan kohët e fundit detajoi se një analizë gjithëpërfshirëse e sigurisë së fushave të futjes së tekstit në shfletuesit e internetit zbuloi se “modeli i tyre i lejeve të vrazhda shkel dy parime të dizajnit të sigurisë: privilegjin më të vogël dhe ndërmjetësimin e plotë”.
Studiuesit zbuluan gjithashtu dy dobësi në fushat e hyrjes, duke përfshirë zbulimin e fjalëkalimeve të tekstit të thjeshtë në kodin burimor HTML të faqeve të njohura të internetit si gmail.com. Uebfaqe të tjera kryesore që ruajnë gjithashtu fjalëkalime të hapura në kodin e tyre burimor HTML përfshijnë Cloudflare, Facebook, Amazon, Citibank, Capital One dhe të tjerë.
Për t’i bërë gjërat edhe më keq, rreth 12.5 për qind e shtesave në Dyqanin e Uebit të Chrome kanë lejet e nevojshme për të shfrytëzuar këto dobësi, dhe ato përfshijnë disa nga bllokuesit më të njohur të reklamave dhe shtesat e blerjeve.
Siç raportohet nga Bleeping Computer, shtesat e shfletuesit shpesh kanë akses të pakufizuar në pemën DOM të faqeve të internetit që ngarkojnë, duke paraqitur potencialisht një rrezik për privatësinë e përdoruesit.
Kjo për shkak se DOM API lejon aksesin në elementë të ndjeshëm si fushat e hyrjes së përdoruesit, duke e lënë derën e hapur për zhvilluesit e paskrupullt që ta abuzojnë atë për të nxjerrë hyrjen e ndjeshme të përdoruesit, duke anashkaluar çdo masë sigurie të zbatuar nga faqja.
