De browser-extensie van het versleutelde berichtenplatform Keybase kan de inhoud van berichten lekken die eigenlijk end-to-end-versleuteld zouden moeten zijn, zo waarschuwt beveiligingsonderzoeker Wladimir Palant, tevens de ontwikkelaar van de populaire adblocker Adblock Plus.

Keybase omschrijft zichzelf als een berichtenplatform dat gebruikers versleutelde berichten op socialmediaplatformen zoals Facebook en Twitter laat versturen. De berichten worden end-to-end versleuteld op het systeem van de gebruiker, zodat alleen de afzender en ontvanger die kunnen lezen. Naast een applicatie voor de desktop en mobiele platformen biedt Keybase ook een browser-extensie voor Chrome en Firefox.

Gebruikers van de desktopapplicatie kunnen deze Keybase-extensie installeren. Deze extensie voegt een "Keybase Chat" knop toe aan de profielen van mensen op Facebook, Twitter, GitHub, Reddit of Hacker News. Op deze manier kunnen mensen eenvoudig contact met elkaar maken. Zodra de gebruiker de knop aanklikt verschijnt er een chatvenster en kan de gebruiker een bericht direct in de browser invoeren. Na dit eerste bericht wordt het gesprek via de Keybase-applicatie voortgezet.

Palant ontdekte echter een probleem met de browser-extensie. Die blijkt de gebruikersinterface (de chatknop en het chatvenster) in de betreffende website te injecteren. De interface wordt echter niet gescheiden van de website. Als gebruikers bijvoorbeeld een Keybase-bericht op Facebook intikken, is het niet privé. De JavaScript-code op Facebook kan het bericht nog steeds lezen als de gebruiker het intikt. Keybase laat gebruikers van de extensie echter weten dat niemand de inhoud van berichten kan lezen.

Niet alleen kan een website de inhoud van een bericht lezen, het kan ook de Keybase-gebruikersinterface berichten in naam van de gebruiker laten versturen, zonder dat de gebruiker dit ziet. Palant waarschuwde Keybase, maar kreeg te horen dat dit probleem op de pagina van de extensie wordt uitgelegd. Daar staat dat als de browser of JavaScript-code van een sociaal netwerk is gecompromitteerd, gebruikers berichten direct in de Keybase-applicatie moeten intikken, of alleen een kort bericht moeten versturen om binnen de applicatie verder te gaan.

Volgens Palant is deze uitleg verwarrend. Daarnaast is het probleem eenvoudig te verhelpen. Keybase liet in een reactie echter weten dat het voor hen een zeer kleine feature betreft en dat het probleem niet de moeite waard is om te verhelpen. Gebruikers krijgen van Palant dan ook het advies om de Keybase-extensie zo snel als mogelijk te verwijderen.