Ao digitar uma senha ou número de cartão de crédito em um site de compras, o consumidor espera que seus dados confidenciais estejam protegidos por alguma barreira de segurança. Nem sempre é esse o caso, revelam pesquisadores de segurança cibernética da Universidade de Wisconsin, nos Estados Unidos.

O que aconteceu

Estávamos apenas mexendo nas páginas de login e no código-fonte HTML podíamos ver a senha em texto. Pensamos: ‘Isso é interessante. Por que isso está acontecendo? É possível que outros sites estejam fazendo algo semelhante?’ Então começamos a cavar mais fundo

Asmit Nayak, um dos participantes do estudo.

No fim, os pesquisadores notaram que cerca de 15% dos mais de 7.000 sites que visitaram armazenavam informações confidenciais como texto simples no código-fonte HTML.  Embora muitas medidas de segurança impeçam que hackers acessem esses dados, a equipe levantou a hipótese de que seria possível encontrá-los usando uma extensão de navegador.

Uma extensão maliciosa poderia usar código para obter informações de login, senhas e outros dados protegidos dos usuários, alerta a pesquisa: “Uma extensão pode acessar facilmente as senhas dos usuários”, disse Fawaz. “não há nada que impeça isso”.

Pesquisando extensões disponíveis para o navegador Google Chrome, a equipe identificou ainda que 12,5% delas tinham permissões necessárias para explorar esta vulnerabilidade. Um hacker poderia “obter acesso às senhas com muita facilidade”, concluiu Khandelwal.

Afinal, por que essa brecha existe?

A segurança do navegador é configurada dessa forma para permitir que extensões populares de gerenciadores de senhas acessem essas informações, dizem os pesquisadores. 

De qualquer forma, o Google disse em comunicado que está investigando o assunto, mas não considera que se trate de uma falha de segurança, especialmente se as permissões para as extensões estiverem configuradas corretamente.

No fim, o trio espera que sua pesquisa convença as empresas a repensar como as páginas lidam com informações confidenciais. Uma proposta é que um alerta seja disparado quando dados confidenciais dos usuários forem acessados ​​por alguma extensão.

O que são extensões de navegador?

Extensões de navegador são pequenos programas instalados no browser do seu computador ou celular para desempenhar funções específicas, como mudar o visual ou a exibição de conteúdo em certas páginas, por exemplo.