吉网

CHROME更新MANIFEST以提高扩展安全性

导读 如今,我们的浏览器有许多扩展可用,人工智能的发展为我们提供了新的替代方案,有望提供更高效的浏览体验。扩展的安全问题然而,重要的是要

如今,我们的浏览器有许多扩展可用,人工智能的发展为我们提供了新的替代方案,有望提供更高效的浏览体验。

扩展的安全问题

然而,重要的是要记住,正如各种研究指出的那样,其中一些选项可能会带来安全问题。

威斯康星大学麦迪逊分校的一组研究人员发表了一项非常有趣的研究,重点评估各种扩展的安全性。其主要分析领域集中在与纯文本相关的漏洞,即仅由字符组成、没有任何格式类型的文本。

在分析了各种可以安装的元素后,发现Chrome、Mozilla 和 Safari 中可用的扩展程序中有 12.5% 具有访问纯文本格式数据的必要权限。

更具体地说,我们确定了17,300 个元素能够访问我们通常在日常网站上输入的机密信息。

纯文本数据类别包括Gmail、Facebook、Twitter 或 Amazon 等服务中帐户的密码和访问凭证等。

最好不要在浏览器中保存信息

这些网站都没有绕过授予这些扩展程序的查询权限的机制。作为此漏洞的证据,研究人员甚至为 Chrome 创建了一个扩展,尽管它具有潜力,但从未发布。

该扩展程序伪装成基于 ChatGPT 的向导,能够提取网站的源代码并恢复用户输入的密码。

令人担忧的是,该扩展程序成功绕过了谷歌的安全过滤器,因为它本身并不包含恶意代码,但它确实具有潜在的危险权限。从安装的那一刻起,它就授予对所有页面元素的完全访问权限,包括高度敏感的输入字段。

这种情况非常令人不安,因为它表明危险的扩展程序可以激增,在用户不知情的情况下窃取大量个人信息。

该解决方案可在Manifest V3中找到,这是一个新的 Chrome 平台,在隐私方面引入了重大改进,并且能够限制对纯文本数据的访问以及其他安全措施。