Des universitaires étasuniens ont conçu une fausse extension ChatGPT pour Chrome qui peut voler les mots de passe et les données confidentielles des utilisateurs en exploitant un système de permissions de Chrome un peu trop laxiste. Cette démonstration de faisabilité prouve que toutes les extensions du navigateur pourraient exploiter la faille.
Des chercheurs de l’Université du Wisconsin à Madison ont créé une extension Chrome et l’ont uploadé sur le Chrome Web Store afin de mettre en lumière une faille de conception du browser de Google. À l’heure actuelle, le système de permissions accordées aux extensions du navigateur le plus populaire au monde permet aux cybercriminels de voler les identifiants et autres informations confidentielles des internautes en texte brut, directement dans le code source.
À lire — Cette IA redoutable devine vos mots de passe rien qu’en écoutant le son de votre clavier
Pour en arriver à cette conclusion, les informaticiens ont créé une fausse extension ChatGPT pour Chrome qui, en réalité, « capture le code HTML de la page Web quand le visiteur clique sur le bouton “Se connecter”. À cet instant, l’extension copie le code source HTML de la page », et extrait le mot de passe saisi dans le formulaire grâce à une expression régulière.
Les extensions Chrome peuvent voler vos mots de passe avec l’autorisation de Google
À en croire ces universitaires, les permissions accordées aux extensions Chrome sont trop laxistes et permettraient aux pirates de voler les mots de passe des utilisateurs directement dans le code source, ou à travers l’interface de programmation du DOM. D’après eux, 190 extensions, dont certaines ont été téléchargées plus de 100 000 fois, tentent déjà d’exploiter la faille de sécurité.
Des milliards d’internautes sont donc concernés, car les universitaires affirment que 12,5 % des 140 000 extensions Chrome du Web Store ont obtenu des permissions qui permettraient à leurs concepteurs de voler nos mots de passe, et des sites aussi populaires que Gmail et Amazon, par exemple, affichent les données confidentielles des visiteurs en clair dans le code source.
Source : Bleeping Computer
Cette chronique a été reproduite du mieux possible. Au cas où vous projetez d’apporter des modifications concernant le thème « Web desing » il est possible de contacter notre journaliste responsable. Le but de leakerneis.fr est de trouver sur internet des données sur le sujet de Web desing puis les diffuser en tâchant de répondre au mieux aux interrogations des internautes. Cet article, qui traite du thème « Web desing », vous est spécialement proposé par leakerneis.fr. Il est prévu divers travaux autour du sujet « Web desing » à brève échéance, on vous invite à naviguer sur notre site internet aussi souvent que possible.Vous pouvez lire cet article développant le sujet « Web desing ». Il est fourni par l’équipe leakerneis.fr. Le site leakerneis.fr est fait pour publier plusieurs publications autour de la thématique Web desing publiées sur la toile. L’article original est réédité du mieux possible. Si vous envisagez d’apporter quelques modifications concernant le sujet « Web desing », vous êtes libre de contacter notre équipe. Prochainement, nous présenterons d’autres informations autour du sujet « Web desing ». De ce fait, consultez régulièrement notre blog.