美国学者为 Chrome 设计了一个假的 ChatGPT 扩展程序,可以利用 Chrome 宽松的权限系统窃取用户的密码和机密数据。这一概念证明证明所有浏览器扩展都可以利用该缺陷。
威斯康星大学麦迪逊分校的研究人员创建了一个扩展 Chrome并将其上传到 Chrome 网上应用店,以便突出显示浏览器设计缺陷来自谷歌。目前,授予扩展的权限系统世界上最受欢迎的浏览器允许网络犯罪分子直接从源代码中以纯文本形式窃取用户凭据和其他机密信息。
为了得出这个结论,计算机科学家创建了一个错误的扩展 ChatGPT对于 Chrome,它实际上“在访问者单击“登录”按钮时捕获网页的 HTML 代码。此时此刻,该扩展复制页面的 HTML 源代码”,并使用正则表达式提取表单中输入的密码。
Chrome 扩展程序可以在 Google 许可的情况下窃取您的密码
根据这些学者的说法,授予 Chrome 扩展程序的权限过于宽松,黑客可以直接在代码中窃取用户密码源,或通过 DOM 编程接口。据他们称,已有 190 个扩展程序试图利用该安全漏洞,其中一些扩展程序的下载次数已超过 10 万次。
阅读——这个人工智能可以在一分钟内破解大多数密码,以下是保护自己的方法
数十亿互联网用户因此受到影响,因为学者表示140,000 个扩展中的 12.5%网上应用店的 Chrome 获得了允许其设计者窃取我们的密码以及像以下这样受欢迎的网站的权限例如,Gmail 和 Amazon 以纯文本形式显示访问者的机密数据在源代码中。
来源 :电脑发出蜂鸣声
