Chrome浏览器扩展曝严重安全漏洞 可获取用户密码

Chrome浏览器官网上面提供的丰富的扩展插件为其吸引了千万用户。但是随着利用浏览器插件漏洞进行攻击的次数越来越多，使得Chrome浏览器用户的安全受到了非常大的威胁。近期Chrome的扩展曝出严重的安全漏洞，黑客可以通过任意一个扩展获取到你登陆网站的用户名与密码。由于该漏洞的发现者已经将具体的方法公开，所以你在安装浏览器扩展时不得不格外小心，也许当你安装一Chrome扩展时，你已经被攻击了。

曝光这个漏洞的是一名叫做Andreas Grech的程序员，他通过在扩展中加入一段 jQuery 代码用来抓取用户的登陆信息，然后将登陆信息通过电子邮件发送给自己。他宣称已经测试了这个扩展，并可以成功得到 Twitter、Gmail、FaceBook 以及其他网站的用户名与密码。下面是引用他博客中的部分内容：

Chrome 浏览器允许安装第三方扩展程序以扩展浏览器并给浏览器加入新的功能，扩展使用 JavaScript 以及 HTMl 编写并允许互相访问和控制 DOM。 因为允许访问 DOM，攻击者就可以读取表单字段中的内容，包括用户名以及密码字段，这就是让我冒出做这个原型想法的原因。 我这里放出的这个扩展很简单，每当用户提交一个表单时，扩展就尝试去获取用户名与密码字段，通过 Ajax 调用发送一封带有详细登陆信息以及登陆地址的邮件给我，然后正常的处理和提交表单，以免被用户发现。

有些人可能会怀疑他所说的真实性，而为了证明这一点，Andreas Grech 在他的博客上放出了该扩展的所有原始代码，并详细讲解了每一段代码的作用，所以真实性毋庸置疑。 从某种程度上来说，我们所有人都应当感谢 Grech 找到这个漏洞并证明了它的真实存在。现在，我们只希望 Google 能在最快的时间内修正这个严重的问题。 目前，Google发布了最新开发版Chrome浏览器。Chrome 6.0.458.1开发版目前支持Windows, Mac和Linux，新版Chrome修复了数个影响用户使用的问题。但对于这个问题Chrome还并未为此任何的回应。

标签:安全Chrome浏览器漏洞用户浏览器相关