Mehr als 17.000 Erweiterungen im Chrome Web Store dürfen auf die Inhalte der Passwortfelder besuchter Webseiten zugreifen.



Forscher von der University of Wisconsin-Madison haben festgestellt, dass viele namhafte Webportale Passwörter und andere sensible Daten von Benutzern im Klartext im HTML-Quellcode zwischenspeichern, so dass bösartige Chrome-Erweiterungen diese auslesen können. Problematisch sei diesbezüglich auch das Berechtigungsmodell für die Browsererweiterungen, das gegen fundamentale Sicherheitsprinzipien verstoße.

Bleeping Computer berichtet, es sei vielen Chrome-Extensions möglich, uneingeschränkt auf den DOM-Baum einer vom Anwender besuchten Webseite zuzugreifen. Dort gebe es keinerlei Sicherheitsgrenze, so dass eine Erweiterung stets die Inhalte sensibler Webseitenelemente auslesen könne, zu denen etwa auch Passwort- und andere Eingabefelder gehören. Selbst die umstrittene Erweiterungs-API Manifest V3 biete keinen zuverlässigen Schutz vor der Exfiltration sensibler Nutzerinformationen durch eine Chrome-Extension.