Un hacker a créé une extension qui exploite une faille de sécurité de Google Chrome
Pour le moment, en attendant que Google ne mette en place un correctif, soyez très prudent lorsque vous installez une extension Google Chrome.
Le programmeur Andreas Grech a développé un programme qui permet d’exploiter une faille du navigateur Web Google Chrome. Il utilise une extension (codée avec JQuery) qui récupère les informations de connexion et les lui envoie par e-mail. Il affirme qu’il a testé l’extension et que cela a parfaitement fonctionné avec Twitter, Gmail et Facebook. Selon ses mots :
Le navigateur Web Google Chrome permet l’installation d’extensions tierces qui sont utilisées pour ajouter de nouvelles fonctionnalités au navigateur. Les extensions sont écrites en JavaScript et HTML et permettent la manipulation du DOM, entre autre.
En permettant l’accès au DOM, un pirate peut ainsi lire les champs de formulaires… ce qui inclut les champs de nom d’utilisateur et de mot de passe. C’est ce qui a déclenché mon idée de créer ce Proof of Concept
L’extension que je présente ici est très simple. A chaque fois qu’un utilisateur soumet un formulaire, le programme essaye de récupérer le nom d’utilisateur et le mot de passe, et m’envoie un e-mail via un appel Ajax à un script avec ces informations de connexion ainsi que l’URL puis soumet le formulaire pour éviter d’être détecté.
Si vous doutez de ses déclarations, il a inclus le code de l’extension sur son site Web.
D’une certaine manière nous devons tous un grand merci à Monsieur Grech pour avoir trouvé la faille et prouvé son existence. Maintenant que cela est connu Google peut combler cette faille et restaurer la paix de l’esprit de ses millions d’utilisateurs.
Mais pour le moment installez seulement des extensions de personnes que vous connaissez et en qui vous avez confiances.
Via TNW Google
[...] This post was mentioned on Twitter by Guy DOYEN. Guy DOYEN said: Google Chrome : une faille de sécurité exploitée via une simple extension http://tnw.to/16WSn [...]