Расширения Google Chrome можно отключить без участия пользователя

Исследователь безопасности всего за несколько часов отключил популярное расширение HTTPS Everywhere.

Эксперт по вопросам безопасности из Detectify Labs Матиас Карлссон нашел уязвимость в браузере Google Chrome. Она позволяет преступникам без какого-либо участия пользователя отключать расширения, включая популярное HTTPS Everywhere, которое запускает защищенное соединение HTTPS везде, где это возможно.

В первую очередь экспертом был проведен анализ исходного кода расширения HTTPS Everywhere на предмет корректности имплементации Block all HTTP requests, однако никаких ошибок не было обнаружено. Спустя какое-то время исследователь обратил внимание, что расширение HTTPS Everywhere после подключения с помощью обработчика URI было отключено. Позже подобным образом Карлссон отключил и другие протестированные им расширения.

Как утверждает специалист, на отключение HTTPS Everywhere потребовалось лишь несколько часов. Следует отметить, что в самом расширении нет уязвимости. С данной проблемой могут столкнуться только те пользователи, которые не установили автоматические обновления. Коллектив разработчиков Google Chrome был проинформирован исследователем о найденной бреши, и она была устранена в последнем бета-релизе.