0001以下、5ちゃんねるからVIPがお送りします
2023/09/07(木) 12:52:07.701ID:UXkFg02f0[2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields
https://arxiv.org/abs/2308.16321
Chrome extensions can steal plaintext passwords from websites
https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/
ウィスコンシン大学マディソン校のアスミット・ナヤック氏らは、プレプリントサーバー・arXivで公開した論文の中で、「ブラウザの拡張機能を支えている 粒度の粗い権限モデルが、 最小権限の原則と 完全な仲介の原則に反していることが明らかになりました」と述べて、Chromeなどのブラウザで横行している不必要な権限の要求や、セキュリティの適用の不徹底が脆弱性をもたらしていると指摘しました。
研究チームによると、今回特定された不具合は拡張機能がウェブページの内部コードにアクセスする方法に起因しているとのこと。多くのサイトは、HTMLなどで記述されたドキュメントをプログラムで操作できるようにする ドキュメントオブジェクトモデル(DOM)という仕組みで動作していますが、拡張機能がこのDOMツリーに無制限にアクセスできてしまう問題により、ソースコード内にある機密データが容易に抜き出せるようになっていると研究チームは説明しています。