Säkerhetsforskare på Squarex Labs har upptäckt ett nytt lömskt sätt på vilket Chrome-tillägg kan fiska efter känsliga uppgifter, rapporterar Bleeping Computer. Forskarna kallar det polymorfa tillägg, och det går ut på att få tillägget att härma ett annat installerat tillägg.
I en demonstration av en potentiell attack har Squarex tagit fram ett sådant tillägg som utger sig för att vara en AI-baserad hjälpreda för marknadsföring men som i smyg kan imitera lösenordshanteraren 1Password om den är installerad. Tillägget visar först en falsk ”du har loggats ut”-ruta samtidigt som det döljer 1Passwords verkliga ikon i verktygsfältet och byter ut sin egen ikon mot 1Password-ikonen.
En användaren som sedan försöker logga in igen kanske inte noterar att ikonen har bytt plats, vilket den dessutom inte gör om de två ikonerna ligger bredvid varandra, och klickar på den falska ikonen. Då visas en falsk inloggningssida som ser exakt likadan ut som 1Passwords riktiga, och vips kan tillägget stjäla namn, hemlig nyckel och lösenord.
För att hitta andra installerade tillägg utnyttjar polymorfa tillägg ”chrome.management”-API:et, som säkerhetsforskarna på Squarex tycker att Google borde säkra upp mer. Det används flitigt i bland annat reklamblockerare och lustigt nog lösenordshanterare, men kan alltså utnyttjas i bedrägliga syften.
Squarex har gett Google flera rekommendationer på hur den här typen av attack kan försvåras, men hittills har företaget inte gjort några ändringar i Chrome.
