Clau per emportar
- La majoria d'extensions de Chrome Web Store requereixen permisos perillosos que es poden utilitzar malament amb finalitats malicioses.
- Tots els navegadors web estan intentant resoldre el problema de les extensions capricioses.
- El Manifest V3 de Google és una d'aquestes solucions que soluciona alguns problemes, però fa poc per dominar els permisos disponibles per a les extensions.
Recordeu aquella extensió del navegador de correcció ortogràfica que demanava permís per llegir i analitzar tot el que escriviu? Els experts en ciberseguretat adverteixen que hi ha una gran probabilitat que algunes extensions facin un ús indegut del vostre consentiment per robar les contrasenyes que introduïu al navegador web.
Per ajudar els usuaris a apreciar els perills de les extensions web, l'empresa de seguretat digital Talon ha analitzat Chrome Web Store per informar que desenes de milers d'extensions tenen accés a permisos preocupants, com ara la possibilitat de canviar les dades de tots els llocs visitats., baixar fitxers, accedir a l'activitat de baixada i molt més.
"Moltes extensions populars posen en risc els usuaris", va explicar el cofundador i CTO de Talon Cyber Security Ohad Bobrov a Lifewire per correu electrònic. "Fins i tot les extensions benignes poden tenir vulnerabilitats al seu codi o cadena de subministrament, i poden ser susceptibles a les adquisicions per part d'actors maliciosos."
Extensions invertides
Talon argumenta que les extensions ofereixen un gran valor als seus usuaris i aporten una sèrie de funcions útils als navegadors web, com ara el bloqueig d'anuncis, la correcció ortogràfica, la gestió de contrasenyes i molt més. Tanmateix, per portar aquestes funcionalitats, les extensions requereixen amplis permisos per modificar el navegador, el seu comportament i els llocs web visitats.
"Naturalment, aquest nivell de control i accés d'actors externs pot suposar amenaces importants de seguretat i privadesa per als usuaris", va explicar Talon.
L'empresa afegeix que, malgrat el procés de verificació de Google, moltes extensions malicioses aconsegueixen passar per les llacunes i acaben afectant negativament milions d'usuaris. La seva anàlisi va revelar que més del 60% de totes les extensions de Chrome Web Store tenen permisos per llegir o canviar les dades i l'activitat dels usuaris.
Per exemple, Talon diu que els correctors ortogràfics i gramaticals demanen permís per injectar scripts que s'executen des del context de la pàgina web per analitzar el text de l'usuari. Normalment ho fan inspeccionant els camps d'entrada o registrant les pulsacions de tecles de l'usuari per altres mitjans. L'empresa diu que això permet efectivament que les extensions recullin i exfiltrin qualsevol informació de la pàgina web, incloses les contrasenyes i altres dades sensibles.
A continuació, hi ha el bloqueig d'anuncis, que constitueix algunes de les principals extensions de Chrome Web Store. Aquesta funcionalitat implica eliminar elements de la pàgina i requereix els mateixos permisos que els correctors ortogràfics.
Es desconeix quines dades es van exfiltrar, però podria haver robat qualsevol cosa de qualsevol pàgina, incloses les contrasenyes.
De la mateixa manera, els permisos concedits per compartir la pantalla i les extensions de videoconferència per fer la tasca prevista, també es poden fer un mal ús per capturar la pantalla i l'àudio de l'usuari.
"En els darrers mesos s'han trobat dues vulnerabilitats a uBlock Origin, que van permetre als atacants explotar el permís de l'extensió per llegir i canviar dades a tots els llocs i robar informació sensible dels usuaris", ens va dir Bobrov..
"Els bloquejadors d'anuncis com uBlock Origin són extremadament populars i solen tenir accés a totes les pàgines que visita un usuari. Entre bastidors, funcionen amb llistes de filtres proporcionades per la comunitat: selectors CSS que dicten quins elements bloquejar. les llistes no són del tot fiables, de manera que estan restringides per evitar que les regles malicioses robin les dades dels usuaris ", va escriure l'investigador de seguretat Gareth Heyes mentre va demostrar l'ús de vulnerabilitats a l'extensió per robar contrasenyes.
Bobrov també va compartir que el 2019 la popular extensió The Great Suspender, que tenia més de dos milions d'usuaris, va ser comprada per un actor maliciós, que va aprofitar els seus permisos per injectar scripts per executar codi no revisat i allotjat de manera remota. a les pàgines web.
"Es desconeix quines dades es van exfiltrar", va dir, "però podria haver robat qualsevol cosa de qualsevol pàgina, incloses les contrasenyes."
Cap solució real
Bobrov diu que Chrome i pràcticament tots els altres navegadors web principals estan treballant per contenir el risc de seguretat que representen les extensions, no només millorant el seu procés de verificació sinó també limitant algunes de les capacitats de les extensions.
Un d'aquests passos recents assenyala Bobrov és el Manifest V3 de Google. Diu que per a l'usuari mitjà, la diferència més notable que Manifest V3 aportaria a les extensions és una prohibició total del codi allotjat de manera remota i un canvi en la manera com les extensions modifiquen les sol·licituds web. No obstant això, afegeix que, com a inconvenient, Manifest V3 ha estat criticat per dificultar greument els bloquejadors d'anuncis.
"Les tendències més significatives són tancar les llacunes de seguretat, augmentar la visibilitat i el control de l'usuari final (per exemple, quins llocs permeten que s'executin extensions) i prohibir el codi no revisable de les extensions", va dir Bobrov. "Alguns d'aquests canvis s'inclouen al Manifest V3 de Google. Tanmateix, cap d'aquests canvis altera dràsticament els permisos disponibles per a les extensions."
