Las extensiones de Chrome suelen eregirse como herramientas muy válidas para hacer que el navegador sea mucho más interesante, pero también es sabido que muchas de ellas pueden acabar siendo peligrosas, incluso capaces de saber las contraseñas que almacenamos en nuestro navegador.

Y un equipo de investigadores de la Universidad de Wisconsin Madison ha podido crear una extensión de Chrome, que es capaz de robar contraseñas en texto plano del código fuente de prácticamente cualquier sitio web.

No obstante, los investigadores descubrieron que sitios webs importantes como los de Google, Cloudflare o Amazon, almacenan contraseñas en texto sin formato dentro del código fuente HTML de sus páginas webs, permitiendo que este tipo de extensiones las recuperen.

Explican que el problema es la práctica de dar a las extensiones de Chrome acceso al árbol DOM de los sitios que carga permitiéndoles acceder a elementos sensibles como los campos de entrada del usuario.

Con ello, la extensión tendría acceso ilimitado a los datos visibles en el código fuente y puede hasta extraer cualquiera de los contenidos.

Si bien explican que el protocolo Manifest V3 de Google Chrome prohíbe que las extensiones obtengan código alojado de forma remota, no se introduce un límite de seguridad entre las extensiones y las páginas webs, con lo que el problema con los scripts de contenido persiste, aclaran los investigadores.

Así que, como dijimos, los investigadores crearon una extensión de Chrome de prueba, para evidentemente demostrar los peligros que existen al respecto y lograron pasar las distintas líneas de seguridad hasta ser aceptada en la propia Chrome Web Store.

La extensión se configuró siempre como no publicada, para que ningún usuario se la pudiera descargar en el momento en el que estuvo disponible.

Los investigadores afirman en su informe técnico que aproximadamente 17.300 extensiones disponibles en Chrome Web Store obtienen los permisos necesarios para extraer información confidencial de los sitios web.