O Chrome é tido como um dos Browsers mais seguros da actualidade. Devido à sua diminuta quota de mercado, tem gozado durante algum tempo desse estatuto. Mas há medida que tem registado um aumento galopante na quota de mercado dos navegadores Web, era apenas uma questão de tempo até ser concebida uma extensão engenhosa pondo em causa a sua segurança e a dos seus utilizadores.
O programador Andreas Grech desenvolveu uma extensão para o Chrome, utilizando as bibliotecas de Ajax jQuery, de modo a monitorizar as credenciais de login num formulário e enviá-las para o seu mail. Segundo o próprio:
“O Google Chrome, permite a instalação de extensões desenvolvidas por terceiros que permite estender as funcionalidades do browser. As extensões são escritas em Javascript e HTML e permite uma manipulação do DOM, entre outras potencialidades.
Ao permitir acesso ao DOM, um atacante pode percorrê-lo e ler campos, inclusive o nome de utilizador e palavra pass. Foi esta a ideia que me levou a desenvolver este Proof of Concept
A extensão que apresento é bastante simples. Quando um utilizador submete um formulário, esta tenta capturar o conteúdo dos campos referentes ao nome de utilizador e password, manda-me um mail com esta informação e a url via uma chamada por Ajax a um script e depois procede à submissão normal do formulário de modo a evitar que haja uma detecção deste processo.”
O código para conseguir este “exploit”, está disponível no blog do autor. Esta falha demonstra que apesar de o sistema de extensões do Chrome ser uma funcionalidade que há muito tempo era esperada de modo a este browser se aproximar de todo o potencial que conhecemos no Firefox, não deixa de ironicamente ser o seu calcanhar de Aquiles.
Este desleixo da forma como foi pensado o sistema de extensões do Chrome, abre uma porta escancarada ao computador dos seus utilizadores, pronta a ser utilizada por qualquer hacker mal intencionado, que queira injectar várias vertentes de malware. Tudo se resume a uma falha gravíssima de segurança, explorável por um código tão simples.
Talvez seja por isso, que a Firefox sempre apostou numa linguagem própria (o XUL), que é a tecnologia que está por detrás do seu browser, e que é simultaneamente usada no seu sistema de extensões, em vez de HTML e Javacript que são mais de domínio público e de fácil aprendizagem para orquestrar estes ataques. Isto tudo no nosso ponto de vista, demonstra que nesta particular funcionalidade a Google não tem a experiencia da Mozilla e que tem muito ainda um longo caminho a percorrer em aperfeiçoar o frágil sistema de extensões do Chrome.
