Su extensión de navegador favorita podría estar robando sus contraseñas

¿Recuerdas esa extensión del navegador de revisión ortográfica que solicitaba permisos para leer y analizar todo lo que escribes? Los expertos en seguridad cibernética advierten que existe una gran posibilidad de que algunas extensiones estén haciendo un mal uso de su consentimiento para robar las contraseñas que ingresa en el navegador web.

Para ayudar a los usuarios a apreciar los peligros de las extensiones web, la empresa de seguridad digital Talon ha analizado Chrome Web Store para informar que decenas de miles de extensiones tienen acceso a permisos preocupantes, como la capacidad de cambiar los datos en todos los sitios visitados, descargar archivos, acceder a la actividad de descarga y más.

“Muchas extensiones populares ponen en riesgo a los usuarios”, cofundador y CTO de Seguridad cibernética de TalonOhad Bobrov explicó a Lifewire por correo electrónico. "[Incluso] las extensiones benignas pueden tener vulnerabilidades en su código o en la cadena de suministro, y pueden ser susceptibles de ser adquiridas por actores malintencionados".

Extensiones rebeldes

Talon argumenta que las extensiones ofrecen un gran valor a sus usuarios y brindan una gran cantidad de funciones útiles a los navegadores web, como el bloqueo de anuncios, la revisión ortográfica, la administración de contraseñas y más. Sin embargo, para brindar estas funcionalidades, las extensiones requieren amplios permisos para modificar el navegador, su comportamiento y los sitios web visitados.

“Naturalmente, este nivel de control y acceso por parte de terceros puede representar amenazas significativas para la seguridad y la privacidad de los usuarios”, explicó Talon.

La compañía agrega que, a pesar del proceso de investigación de Google, muchas extensiones maliciosas logran pasar desapercibidas y terminan teniendo un impacto adverso. millones de usuarios. Su análisis reveló que más del 60% de todas las extensiones en Chrome Web Store tienen permisos para leer o cambiar los datos y la actividad del usuario.

Por ejemplo, Talon dice que los correctores ortográficos y gramaticales solicitan permiso para inyectar scripts que se ejecutan desde el contexto de la página web para analizar el texto del usuario. Por lo general, lo hacen inspeccionando los campos de entrada o registrando las pulsaciones de teclas del usuario por otros medios. La compañía dice que esto permite efectivamente que las extensiones recopilen y exfiltren cualquier información en la página web, incluida contraseñas y otros datos confidenciales.

Luego está el bloqueo de anuncios, que constituye algunas de las principales extensiones de Chrome Web Store. Esta funcionalidad implica eliminar elementos de la página y requiere los mismos permisos que los correctores ortográficos.

Del mismo modo, los permisos otorgados para compartir pantalla y extensiones de videoconferencia para realizar la tarea prevista, también pueden usarse indebidamente para capturar la pantalla y el audio del usuario.

"Dos vulnerabilidades fueron encontrados en Origen de uBlock en los últimos meses, lo que permitió a los atacantes explotar el permiso de la extensión para leer y cambiar datos en todos los sitios y robar información confidencial de los usuarios”, nos dijo Bobrov.

“Los bloqueadores de anuncios como uBlock Origin son extremadamente populares y, por lo general, tienen acceso a todas las páginas que visita un usuario. Detrás de escena, funcionan con listas de filtros proporcionadas por la comunidad: selectores de CSS que dictan qué elementos bloquear. Estas listas no son del todo confiables, por lo que están restringidas para evitar que las reglas maliciosas roben datos de los usuarios”. escribió el investigador de seguridad Gareth Heyes mientras demostraba el uso de vulnerabilidades en la extensión para robar contraseñas.

Bobrov también compartió que en 2019 el popular el gran tirante La extensión, que tenía más de dos millones de usuarios, fue comprada por un actor malicioso, que aprovechó sus permisos para inyectar scripts para ejecutar código alojado de forma remota y sin revisar en páginas web.

“No se sabe qué datos se extrajeron”, dijo, “pero podría haber robado potencialmente cualquier cosa de cualquier página, incluidas las contraseñas”.

Sin solución real

Bobrov dice que Chrome y prácticamente todos los demás navegadores web líderes están trabajando para contener el riesgo de seguridad que plantean extensiones, no solo mejorando su proceso de investigación, sino también limitando algunas de las capacidades del extensiones

Uno de esos pasos recientes que señala Bobrov es el de Google Manifiesto V3. Él dice que para el usuario promedio, la diferencia más notable que Manifest V3 traería a extensiones es una prohibición total del código alojado de forma remota y un cambio en la forma en que las extensiones modifican la web peticiones. Sin embargo, agrega que, en el lado negativo, Manifest V3 ha sido criticado por obstaculizar severamente a los bloqueadores de anuncios.

“Las tendencias más significativas son cerrar las brechas de seguridad, aumentar la visibilidad y el control del usuario final (por ejemplo, qué sitios permiten que se ejecuten las extensiones) y prohibir el código no revisable de las extensiones”, Bobrov dicho. “Algunos de estos cambios están incluidos en el Manifiesto V3 de Google. Sin embargo, ninguno de estos cambios altera drásticamente los permisos disponibles para las extensiones.“