Danny Weber
18:56 06-02-2026
© RusPhotoBank
O vulnerabilitate gravă în Google Chrome permite extensiilor să colecteze date confidențiale din bara de adrese. Află cum sunt expuse token-uri și parole și cum să te protejezi.
O vulnerabilitate gravă a fost descoperită în browserul Google Chrome, permițând extensiilor să colecteze direct date confidențiale ale utilizatorilor din bara de adrese. Astfel, sunt expuse la risc token-uri de autorizare, linkuri de resetare a parolelor, chei API și alte secrete – informații pe care serviciile le transmit adesea în URL după simbolul „?”.
Expertul în securitate cibernetică Luan Herrera a atras atenția asupra problemei. El a menționat că atacul nu necesită privilegii ridicate sau permisiuni suspecte; este suficient accesul la API-ul standard declarativeNetRequest. Acesta este același mecanism folosit de majoritatea blocurilor de reclame și trackere.
Vulnerabilitatea constă în momentul procesării cererilor. Chrome gestionează cererile blocate prin acest API mult mai rapid decât cele obișnuite, diferențele putând ajunge la zeci de milisecunde. Exploatând această diferență de timp, o extensie rău intenționată poate analiza comportamentul browserului și, pas cu pas, să reconstruiască întregul URL al paginii, inclusiv parametrii ascunși care conțin date sensibile.
În practică, un atacator poate practic „ghici” adresa caracter cu caracter, reîncărcând pagina și măsurând timpul de răspuns. Drept urmare, utilizatorii riscă să-și piardă accesul la e-mail, rețele sociale, servicii financiare și alte conturi critice fără să bănuiască vreodată.
Un exploit de tip proof-of-concept s-a dovedit eficient în toate versiunile actuale de Chrome, de la versiunea stabilă până la cele Dev și Canary. Google a recunoscut problema, dar a declarat că remedierea ei în arhitectura actuală a browserului este practic imposibilă.