圖片來源《Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields》

在分析全球前1萬個網站的登入頁面之後，發現有1,100個網站在其HTML原始碼中以明文呈現密碼，包括Google、Cloudflare與Doordash在內，另有7,400個網站含有與DOM相關的安全漏洞，像是Facebook。此外，該報告也宣稱Amazon於信用卡輸入欄位並未導入任何保護機制，而讓他們得以在網頁上看到明文的安全碼及郵遞區號。

圖片來源《Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields》

為了測試Chrome Web Store的審核程序，研究人員打造了一個可汲取密碼的概念性驗證攻擊程式，將其偽裝成基於GPT的助理工具，可提供類似ChatGPT的能力，並將它上傳到Chrome Web Store上，由於它既符合Manifest V3擴充程式規格，也沒有明顯的惡意程式碼，因而順利地通過了Google的審核。

研究人員指出，Web Store沒能辨識出該惡意擴充程式，彰顯出業界需要一個更強大的瀏覽器擴充程式驗證系統。

儘管Chrome與Microsoft Edge等Chromium瀏覽器都已經採用了更安全及更具隱私的Manifest V3規格，也不再接受基於Manifest V2的擴充程式，亦未能防範上述的威脅，而持續允許Manifest V2擴充程式的Safari及Firefox顯然更容易遭到類似的攻擊。