美國學者為 Chrome 設計了一個假的 ChatGPT 擴充程序,可以利用 Chrome 寬鬆的權限系統竊取使用者的密碼和機密資料。這個概念證明證明所有瀏覽器擴充功能都可以利用該缺陷。
威斯康辛大學麥迪遜分校的研究人員創建了一個擴充 Chrome並將其上傳到 Chrome 線上應用程式商店,以便突出顯示瀏覽器設計缺陷來自Google。目前,授予擴展的權限系統世界上最受歡迎的瀏覽器允許網路犯罪分子直接從原始程式碼以純文字形式竊取使用者憑證和其他機密資訊。
為了得出這個結論,計算機科學家創建了一個錯誤的擴展 ChatGPT對於 Chrome,它實際上「在訪客點擊「登入」按鈕時捕獲網頁的 HTML 程式碼。此時此刻,該擴充功能複製頁面的 HTML 原始碼”,並使用正規表示式提取表單中輸入的密碼。
Chrome 擴充功能可以在 Google 授權的情況下竊取您的密碼
根據這些學者的說法,授予 Chrome 擴充功能的權限過於寬鬆,駭客可以直接在程式碼中竊取使用者密碼源,或透過 DOM 編程介面。據他們稱,已有 190 個擴充功能試圖利用該安全漏洞,其中一些擴充功能的下載次數已超過 10 萬次。
閱讀——這個人工智慧可以在一分鐘內破解大多數密碼,以下是保護自己的方法
數十億網路用戶因此受到影響,因為學者表示140,000 個擴展中的 12.5%網路應用商店的 Chrome 獲得了允許其設計者竊取我們的密碼以及像以下這樣受歡迎的網站的權限例如,Gmail 和 Amazon 以純文字顯示訪客的機密數據在原始碼中。
來源 :電腦發出蜂鳴聲
