浏览器的安全设计及网站漏洞,让浏览器扩展可存取用户密码等机密资料
来自美国威斯康辛大学麦迪逊分校(University of Wisconsin–Madison)的3名研究人员上周发表了一篇研究报告,指出坊间主要浏览器的粗粒度权限模型(Coarse-Grained Permission Model)违反两项安全设计准则,再加上网站上的输入栏位含有安全漏洞,将足以让骇客藉由浏览器扩充程式取得使用者所输入的机密资料,包括密码与信用卡资讯。
研究人员所调查的浏览器涵盖Google Chrome、Mozilla Firefox与苹果Safari,并宣称它们在处理文字输入栏位的权限时,并未遵循最低权限及完全仲裁(Complete Mediation)原则,前者指的是系统应该仅具备最低限度的必要存取权限,后者则是每次的存取都应检查权限。
研究人员分析了Chrome Web Store中的17,300款扩充程式,发现当中有12.5%具备汲取所有网页上机密资讯的必要权限,包括拥有超过1,000万名使用者的AdBlockPlus及优惠券程式Honey。此外,还有190款扩充程式可以直接存取密码栏位。
—— iThome
发表回复