Une faille de sécurité dans les extensions de Chrome

le 13/07/2010 à 18:29
Une faille de sécurité dans les extensions de Chrome
Ce weekend, le développeur Andreas Grech, a découvert une faille de sécurité au sein du gestionnaire des extensions Google Chrome. Rappelons que les extensions du navigateur sont codées en HTML et Javascript et autorisent également la manipulation de DOM. C'est d'ailleurs bien l'autorisation de l'Ajax, utilisé pour accéder ou mettre à jour du contenu, qui pose problème.

Sur son blog personnel, M. Grech affirme ainsi qu'il a trouvé le moyen de lire les champs de texte, y compris les identifiants et les mots de passe associés à certains sites Internet. Le jeune hacker a mis au point une extension basée sur la bibliothèque JQuery capable d'opérer cette lecture puis d'envoyer un email via une requête Ajax contenant les identifiants de la victime ainsi que l'URL de connexion. Parmi les sites testés notons Gmail, Facebook ou encore Twitter.

Dans la mesure où il s'agit bien d'Ajax, la procédure de piratage est alors transparente pour l'internaute. Une démonstration complète ainsi que le code de cette extension ont été publiés sur son site. En espérant que Google corrige la faille rapidement... Au mois de mars dernier Chrome était cependant le seul navigateur à avoir resisté aux attaques des hackers lors du concours Pwn2Own Contest. Au premier jour, les experts en sécurité informatique avaient été découragés en avouant qu'il s'agissait-là d'une tentative trop compliquée...

A lire également

L'équipe de Mozilla Add-ons a publié sur son blog un avertissement concernant deux extensions dont l'une serait jugée particulièrement dangereuse. En effet, publiée sur addons.mozilla.org le 6 juin dernier, l'extension Mozilla Sniffer, comme son nom l'indique, a été spécialement conçue afin d'intercepter les données de connexion à certains sites Internet pour les retourner vers son concepteur. Repéré le 12 juillet dernier, celle-ci fut immédiatement bloquée par Mozilla et ajoutée sur une liste noire. De cette manière, les internautes recevront un message d'alerte les invitant à désinstaller l'extension en question.

Mozilla demande aux utilsateurs ayant installé Sniffer de changer leurs mots de passe. L'addon aurait été téléchargé 1800 fois. L'équipe précise que le plugin était en phase expérimentale ; le code de ce dernier n'avait donc pas été analysé par Mozilla. Par ailleurs si tous les éléments publiés sont automatiquement scannés par un anti-virus, certains types de comportements malveillants ne peuvent être détectés sans une analyse de la source. Pour cette raison les règles de mise en ligne sont en passe d'être modifiées.

De son côté l'extension CoolPreviews permettant de prévisualiser un lien, comporterait une faille de sécurité dans ses versions 3.0.1 et antérieures. Cette vulnérabilité permettrait à une personne malintentionnée de modifier un lien. Il suffirait alors que la victime passe sa souris dessus pour générer l'exécution automatique d'un script. Le hacker serait en mesure de prendre le contrôle de la machine. La version 3.0.1 et toutes les précédentes ont été effacées. Depuis, une mise à jour a été publiée. A l'heure actuelle 177 000 internautes utiliseraient une version vulnérable de l'extension.

Le weekend dernier, le développeur Andreas Grech, avait découvert une faille de sécurité au sein du gestionnaire des extensions Google Chrome. Il affirmait avoir trouvé le moyen de lire les champs de texte, y compris les identifiants et les mots de passe associés à certains sites Internet. M. Grech fut d'ailleurs le premier a réagir à l'avertissement de Mozilla.

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours