Un recente studio condotto da esperti di sicurezza dell’Università del Wisconsin-Madison ha evidenziato una potenziale minaccia alla sicurezza dei dati sensibili degli utenti online. I risultati mostrano che, contrariamente alle aspettative generali, quando si immettono password o numeri di carta di credito su un sito, non sempre questi dati sono al sicuro come si potrebbe pensare.
Durante una ricerca sulle pagine di accesso di Google, Rishabh Khandelwal, Asmit Nayak e il professore associato Kassem Fawaz si sono imbattuti in un problema rilevante: la visualizzazione di password in chiaro nel codice sorgente HTML. Questa scoperta li ha portati a un’indagine più approfondita, dove hanno rilevato che quasi il 15% dei 7.000 siti web analizzati conservava informazioni sensibili come testo non cifrato nell’HTML. Nonostante le robuste misure di sicurezza in atto, il team ha teorizzato che attraverso specifiche estensioni del browser, potrebbe essere possibile estrarre questi dati.
Queste estensioni, componenti aggiuntivi che permettono una personalizzazione dell’esperienza online dell’utente, possono essere sviluppate sia da produttori di browser che da terzi. La ricerca ha evidenziato come un’estensione malevola potrebbe sfruttare un codice comune per ottenere dati protetti come credenziali di accesso e password. Fawaz sottolinea:
Un’estensione potrebbe facilmente intercettare le password degli utenti, anche se attualmente non abbiamo evidenze di ciò. Ma nulla sembra impedirlo.
Il problema del codice sorgente e le estensioni del browser
L’analisi delle estensioni disponibili per Google Chrome ha mostrato che oltre 17.300, ovvero il 12,5% del totale, avevano le autorizzazioni necessarie per sfruttare potenzialmente questa vulnerabilità. Il team ha dimostrato la potenziale minaccia sviluppando una propria estensione, descritta come un assistente AI simile a ChatGPT, e l’ha sottoposta con successo per l’approvazione al Chrome Web Store, pur senza mai rilasciarla al pubblico.
Khandelwal sostiene che gli hacker potrebbero facilmente sfruttare estensioni esistenti, magari acquistandone una già popolare e adattando il codice, per ottenere le stesse informazioni. La scoperta del team ha sollevato preoccupazioni sul perché questa vulnerabilità esiste. Secondo Fawaz, potrebbe essere legato alla necessità delle estensioni di gestione delle password di accedere a tali dati. Google, in risposta, ha dichiarato di stare analizzando la questione, sostenendo che non si tratta di una falla di sicurezza se le autorizzazioni delle estensioni sono impostate correttamente.
Tuttavia, l’attenzione rimane alta e Fawaz spera che il suo lavoro induca i siti web a riconsiderare la gestione dei dati sensibili, suggerendo l’introduzione di avvisi per gli utenti e strumenti aggiuntivi per gli sviluppatori:
È fondamentale che le persone siano consapevoli che le password sui browser potrebbero non essere sempre sicure come si pensa.