創報堂ブログ

2023.12.04 Yoshi

ブラウザの拡張機能からパスワードが抜かれる?

ブラウザの拡張機能から入力されたデータを抽出することができるという論文が発表されました。

HTMLソースコードから個人情報が筒抜け? Chromeなどのブラウザ拡張機能の多くで脆弱性 米研究者らが発見:Innovative Tech – ITmedia NEWS

[2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields (arxiv.org)

実際にパスワードを取得できるように作った拡張機能を作り、審査を潜り抜けてウェブストアにアップすることに成功したようです。(現在は削除済)

パスワードがHTML文に平文で保存されていることが原因のようです。

なんとGoogleやfacebookのような有名サイトからも抽出できるとのこと。

 

対策として、パスワードの変数を隠蔽するライブラリや、パスワード情報にアクセスがあった場合に警告を出す、の二つが提案されています。

拡張機能どうこうよりも、有名サイトでもパスワードが平文で保存されているということ驚きました。

最新の投稿
スタッフ一覧
タグ
創報堂過去ブログ

お問い合わせ

ご相談や制作についてのご質問、その他ご不明な点などございましたら どうぞお気軽にお問い合わせくださいませ。

  • TEL:079-284-9304 受付時間 平日9:00~18:00
  • お問い合わせフォーム
有限会社創報堂

兵庫県姫路市にあるホームページ制作・システム開発の総合クリエイティブ会社
有限会社創報堂

〒670-0932 兵庫県姫路市下寺町129 Nビル2F
TEL 079-284-9304 FAX 079-284-9305

© 2005 SOUHOUDOU