
Permitir a injeção de código em domínios como Microsoft.com, Bing.com e MSN.com, embora um caso de uso principal para extensões, seja inerentemente arriscado e deva ser tratado com cuidado.No entanto, é crucial destacar que a interação entre extensões, sites privilegiados e APIs privadas apresenta uma preocupação significativa de segurança dentro da estrutura do cromo.Embora essas extensões sejam proibidas na loja oficial de complementos, sabe-se que atores maliciosos ignoram essas restrições usando técnicas de ofuscação, carregamento dinâmico de código e histórias de capa convincentes.Neste artigo, desdobramos nosso processo de descoberta, mostramos a vulnerabilidade com o código de prova de conceito (POC) direto e refletimos nas implicações mais amplas de segurança.Aqui, descobrimos uma vulnerabilidade que, apesar de sua simplicidade, poderia ter consequências graves se explorar.