In Firefox: Sì, assolutamente. Nulla sull'architettura di Firefox impedisce loro di farlo.
Mentre le password sono in teoria "crittografate" mentre sono archiviate su disco, anche la chiave di decrittazione viene memorizzata su disco. Pertanto, qualsiasi software con accesso al filesystem troverà banale decifrare le password memorizzate e accedervi. (Se non vuoi credermi sulla parola, ecco un modo semplice per convincerti che è possibile: il browser Firefox può decrittografarli senza richiedere segreti.)
In Firefox, i plug-in possono eseguire codice nativo, in modo che possano accedere al filesystem. Pertanto, possono afferrare e decrittografare tutte le password memorizzate. Possono anche esfiltrarli sulla rete, se lo desiderano.
In Firefox, le estensioni possono eseguire comandi di shell arbitrari e accedere al filesystem, così anche loro possono afferrare e decrittografare tutte le password memorizzate ed esportarle sulla rete.
Esiste un processo di revisione della luce per le estensioni popolari di Firefox, che potrebbero rendere più difficile per le estensioni non sofisticate montare un simile attacco. Tuttavia, questo processo di revisione può essere facilmente sovvertito dal malware: le estensioni possono caricare dinamicamente il codice da fonti esterne (ad es. Tramite <SCRIPT SRC=...>
o eval
) e l'autore dell'attacco può organizzare che il codice caricato esternamente sia benigno durante la revisione e dannoso durante l'esecuzione.
Pertanto, non c'è nulla che impedisca realmente a un plug-in di Firefox malizioso o a un'estensione di Firefox di montare un simile attacco.
(È interessante notare che il sistema di estensione di Chrome offre una protezione migliore contro questo tipo di attacco, per le estensioni.)