Wykryto lukę w Google Chrome, która pozwala rozszerzeniom przechwytywać tokeny, hasła i klucze API z adresu URL. Atak wykorzystuje API declarativeNetRequest.
© RusPhotoBank
W przeglądarce Google Chrome wykryto poważną lukę w zabezpieczeniach, która umożliwia rozszerzeniom bezpośrednie przechwytywanie poufnych danych użytkownika z paska adresu. To naraża na ryzyko tokeny autoryzacyjne, linki do resetowania haseł, klucze API i inne sekrety – dane, które usługi często przesyłają w adresie URL za symbolem '?'.
Na problem zwrócił uwagę ekspert ds. cyberbezpieczeństwa Luan Herrera. Zauważył, że atak nie wymaga podwyższonych uprawnień ani podejrzanych autoryzacji; wystarczy dostęp do standardowego API declarativeNetRequest. To ten sam mechanizm, z którego korzysta większość blokerów reklam i trackerów.
Sedno luki tkwi w czasie przetwarzania żądań. Chrome obsługuje żądania blokowane przez to API znacznie szybciej niż zwykłe, z różnicami sięgającymi nawet dziesiątek milisekund. Wykorzystując tę różnicę w czasie, złośliwe rozszerzenie może analizować zachowanie przeglądarki i krok po kroku odtworzyć pełny adres strony, w tym ukryte parametry zawierające wrażliwe dane.
W praktyce atakujący może w zasadzie 'zgadywać' adres znak po znaku, przeładowując stronę i mierząc czas odpowiedzi. W rezultacie użytkownicy ryzykują utratę dostępu do poczty e-mail, sieci społecznościowych, usług finansowych i innych kluczowych kont, nawet o tym nie wiedząc.
Eksploit typu proof-of-concept okazał się skuteczny we wszystkich aktualnych wersjach Chrome, od stabilnej wersji po wydania Dev i Canary. Google przyznało, że problem istnieje, ale stwierdziło, że naprawienie go w obecnej architekturze przeglądarki jest praktycznie niemożliwe.