Princípios importantes
- A maioria das extensões da Chrome Web Store requer permissões perigosas que podem ser usadas indevidamente para fins maliciosos.
- Todos os navegadores da web estão tentando resolver o problema das extensões rebeldes.
- O Manifest V3 do Google é uma dessas soluções que resolve alguns problemas, mas faz pouco para controlar as permissões disponíveis para as extensões.
Lembra daquela extensão do navegador de verificação ortográfica que pedia permissão para ler e analisar tudo o que você digita? Especialistas em segurança cibernética alertam que há uma grande chance de que algumas extensões estejam usando indevidamente seu consentimento para roubar as senhas que você digita no navegador da web.
Para ajudar os usuários a entender os perigos das extensões da web, a empresa de segurança digital Talon analisou a Chrome Web Store para informar que dezenas de milhares de extensões têm acesso a permissões preocupantes, como a capacidade de alterar dados em todos os sites visitados, baixe arquivos, acesse a atividade de download e muito mais.
“Muitas extensões populares colocam os usuários em risco”, explicou o cofundador e CTO da Talon Cyber Security Ohad Bobrov à Lifewire por e-mail. “[Mesmo] extensões benignas podem ter vulnerabilidades em seu código ou cadeia de suprimentos e podem ser suscetíveis a aquisições por agentes mal-intencionados.”
Extensões Wayward
Talon argumenta que as extensões oferecem grande valor para seus usuários e trazem uma série de recursos úteis para os navegadores da web, como bloqueio de anúncios, verificação ortográfica, gerenciamento de senhas e muito mais. No entanto, para trazer essas funcionalidades, as extensões exigem amplas permissões para modificar o navegador, seu comportamento e os sites visitados.
“Naturalmente, esse nível de controle e acesso de terceiros pode representar ameaças significativas de segurança e privacidade para os usuários”, explicou Talon.
A empresa acrescenta que, apesar do processo de verificação do Google, muitas extensões maliciosas conseguem escapar das lacunas e acabam impactando negativamente milhões de usuários. Sua análise revelou que mais de 60% de todas as extensões na Chrome Web Store têm permissões para ler ou alterar dados e atividades do usuário.
Por exemplo, Talon diz que os corretores ortográficos e gramaticais solicitam permissão para injetar scripts executados no contexto da página da Web para analisar o texto do usuário. Eles fazem isso geralmente inspecionando os campos de entrada ou registrando as teclas do usuário por outros meios. A empresa diz que isso permite que as extensões coletem e exfiltram qualquer informação na página da web, incluindo senhas e outros dados confidenciais.
Então há o bloqueio de anúncios, que compõe algumas das principais extensões da Chrome Web Store. Essa funcionalidade envolve a remoção de elementos da página e requer as mesmas permissões dos corretores ortográficos.
Não se sabe quais dados foram exfiltrados, mas podem ter roubado qualquer coisa de qualquer página, incluindo senhas.
Da mesma forma, as permissões concedidas para compartilhamento de tela e extensões de videoconferência para realizar a tarefa pretendida também podem ser usadas indevidamente para capturar a tela e o áudio do usuário.
"Duas vulnerabilidades foram encontradas no uBlock Origin nos últimos meses, o que permitiu que invasores explorassem a permissão da extensão para ler e alterar dados em todos os sites e roubar informações confidenciais do usuário", disse Bobrov.
"Bloqueadores de anúncios como o uBlock Origin são extremamente populares e normalmente têm acesso a todas as páginas que um usuário visita. Nos bastidores, eles são alimentados por listas de filtros fornecidas pela comunidade - seletores CSS que determinam quais elementos devem ser bloqueados. listas não são totalmente confiáveis, então elas são restritas para evitar que regras maliciosas roubem dados do usuário", escreveu o pesquisador de segurança Gareth Heyes ao demonstrar o uso de vulnerabilidades na extensão para roubar senhas.
Bobrov também compartilhou que em 2019 a popular extensão The Great Suspender, que tinha mais de dois milhões de usuários, foi comprada por um agente malicioso, que passou a explorar suas permissões para injetar scripts para executar código não revisado e hospedado remotamente em páginas da web.
"Não se sabe quais dados foram exfiltrados", disse ele, "mas poderia ter roubado qualquer coisa de qualquer página, incluindo senhas."
Nenhuma Solução Real
Bobrov diz que o Chrome e praticamente todos os outros principais navegadores da Web estão trabalhando para conter o risco de segurança representado pelas extensões, não apenas melhorando seu processo de verificação, mas também limitando alguns dos recursos das extensões.
Um passo recente que Bobrov aponta é o Manifest V3 do Google. Ele diz que, para o usuário médio, a diferença mais notável que o Manifest V3 traria para as extensões é uma proibição completa do código hospedado remotamente e uma mudança na maneira como as extensões modificam as solicitações da web. No entanto, ele acrescenta que, no lado negativo, o Manifest V3 foi criticado por dificultar severamente os bloqueadores de anúncios.
"As tendências mais significativas são fechar as lacunas de segurança, aumentar a visibilidade e o controle do usuário final (por exemplo, quais sites permitem que as extensões sejam executadas) e proibir o código não revisável das extensões", disse Bobrov. "Algumas dessas alterações estão incluídas no Manifesto V3 do Google. No entanto, nenhuma dessas alterações altera drasticamente as permissões disponíveis para extensões."