Суть всей статьи. Куда логин с паролем ввел, туда их и слил.
Автор! Ждем статью про опасности установленных дополнений в браузере.
К примеру блокировщики рекламы. (Для тех кто не знает как они работают)
Я хотел предложить расширить данную тему за пределами VK. К примеру, установка всего подряд на android\apple телефон с подключенным банк клиентом.
(особенно с полученным root)
Пост добавят в закладки если он будет содержать дельные советы.
Предложение:
Может лучше рассказать не о том, что данные слитые в интернет можно перехватить.
А рассказать о том, какими способами "И!!!" На сколько это просто! Перехватывать данные передаваемые в интернет.
Сообщество Пикабу, мне кажется, мигом запомнит такую информацию, а пост останется в закладках.
P.S. Дьявол кроется в мелких деталях.
В мобильном клиенте человек сам вводит логин/пасс, а здесь как? Плагин явно запросил авторизацию для приложения?
Он скрыто открыл страницу авторизации (Как вы на сайты входите через ВК) скрытно от пользователя и подтвердил авторизацию (Это если упрощенно)
Такой ведь не попадет в магазин плагинов, человек должен целенаправленно его скачать.
Да сам написал для тестирования. Если так интересно то для человеков простых могу сделать новый пост где это будет описано подробнее. Ну а модерацию пройти в гугл маркете (Если мы говорим о хроме) не проблема я думаю. Ну а "заставить" человека поставить плагин не такая уж и проблема (Социальная инженерия и т п)
Я немного дополню.
Часто сохраняют в браузере пароли и логины, это удобно. А потом ставят дополнения, для них это сохранение = ввод паролей и логинов от пользователя.
человек сам вводит логин/пасс,
человек провел сеанс авторизации через приложение\дополнение
Куда логин с паролем ввел, туда их и слил.
Достаточно первого раза(при создании аккаунта, например)
Смысл таков, левый мобильный клиент может использовать данные пропущенные через него, по своему усмотрению. В дальнейшем хозяин\разработчик клиента может использовать данные, без уведомления об этом их хозяина. Плагины в браузере имеют возможность хранить историю того, что вы вводите в браузер с клавиатуры, но только внутри данного браузера.
К примеру: Многие люди не заморачиваются создавать разные пароли для разных сервисов.
Пример: Почта, Комп на работе, Банк клиент. Для всех один _P@$$w0rd*
Дополнение может перехватить данный пароль и запомнить его.
С мобильным клиентом понятно, если ты ввел логин/пасс в левое приложение, то сам себе злобный буратино.
С плагином уже интереснее, правда я таких не видел.