ブラウザの拡張機能から入力されたデータを抽出することができるという論文が発表されました。

HTMLソースコードから個人情報が筒抜け？　Chromeなどのブラウザ拡張機能の多くで脆弱性　米研究者らが発見：Innovative Tech – ITmedia NEWS

[2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields (arxiv.org)

実際にパスワードを取得できるように作った拡張機能を作り、審査を潜り抜けてウェブストアにアップすることに成功したようです。（現在は削除済）

パスワードがHTML文に平文で保存されていることが原因のようです。

なんとGoogleやfacebookのような有名サイトからも抽出できるとのこと。

対策として、パスワードの変数を隠蔽するライブラリや、パスワード情報にアクセスがあった場合に警告を出す、の二つが提案されています。

拡張機能どうこうよりも、有名サイトでもパスワードが平文で保存されているということ驚きました。