Chrome-utvidelser kan stjele passord

Konseptbevis demonstrerer at det er svært enkelt å få til.

Den maltesiske utvikleren Andreas Grech har laget et konseptbevis som demonstrerer hvordan ondsinnede kan få utvidelser til Googles nettleser, Chrome, til å oversende brukernes innloggingsinformasjon til en vilkårlig e-postadresse. Grech skriver i et blogginnlegg at hans kode enkelt kan videresende brukernavn og passord til tjenester som Google, Facebook og Twitter.

Det er ikke kjent om det finnes utvidelser til Chrome som gjør dette, men konseptbeviset er utgitt som en advarsel om at dette er svært enkelt å få til. Derfor bør man være nøye med hvilke utvidelser til Chrome man velger å ta i bruk. Trolig kan tilsvarende også gjøres med andre nettlesere som har støtte for utvidelser.

Enkelt fortalt fungerer utvidelsen til Grech som følger:

Når en bruker sender inn et innloggingsskjema fra Chrome, forsøker utvidelsen å fange opp dataene i feltene for brukernavn og passord. Disse dataene sendes så i en e-post via et Ajax-basert kall til et skript, sammen med URL-en til innloggingsfunksjonen på nettstedet. Brukeren av nettleseren vil ikke merke noe til dette, men opplever å få logget inn som normalt.

Grech har ikke gjort selve utvidelsen tilgjengelig, men i blogginnlegget er all den nødvendige koden offentliggjort.

Til toppen