Ontdek een ernstige kwetsbaarheid in Google Chrome die extensies in staat stelt vertrouwelijke gegevens uit de adresbalk te halen, zoals tokens en API-sleutels. Lees hoe dit werkt en wat de risico's zijn.
© RusPhotoBank
In de Google Chrome-browser is een ernstige kwetsbaarheid ontdekt die extensies in staat stelt vertrouwelijke gebruikersgegevens direct uit de adresbalk te verzamelen. Hierdoor lopen autorisatietokens, wachtwoordherstelkoppelingen, API-sleutels en andere geheimen gevaar. Dit zijn gegevens die diensten vaak in de URL doorgeven na het '?'-symbool.
Cybersecurityexpert Luan Herrera vestigde de aandacht op het probleem. Hij merkte op dat de aanval geen verhoogde rechten of verdachte toestemmingen vereist; toegang tot de standaard declarativeNetRequest-API is voldoende. Dit is hetzelfde mechanisme dat door de meeste advertentie- en trackerblokkers wordt gebruikt.
De kern van de kwetsbaarheid ligt in de timing van de aanvraagverwerking. Chrome verwerkt aanvragen die via deze API worden geblokkeerd aanzienlijk sneller dan reguliere aanvragen, met verschillen die kunnen oplopen tot tientallen milliseconden. Door deze timingkloof te misbruiken, kan een kwaadaardige extensie het browsergedrag analyseren en stap voor stap de volledige pagina-URL reconstrueren, inclusief verborgen parameters met gevoelige gegevens.
In de praktijk kan een aanvaller het adres in feite karakter voor karakter 'raden' door de pagina opnieuw te laden en de reactietijd te meten. Het gevolg is dat gebruikers het risico lopen de toegang te verliezen tot e-mail, sociale netwerken, financiële diensten en andere kritieke accounts zonder dat ze iets vermoeden.
Een proof-of-concept-exploit is succesvol gebleken in alle huidige Chrome-versies, van de stabiele release tot de Dev- en Canary-builds. Google heeft het probleem erkend, maar stelde dat het vrijwel onmogelijk is om het op te lossen binnen de huidige architectuur van de browser.