Conclusiones clave
- La mayoría de las extensiones de Chrome Web Store requieren permisos peligrosos que se pueden utilizar de forma indebida con fines malintencionados.
- Todos los navegadores web intentan abordar el problema de las extensiones descarriadas.
- Manifiesto V3 de Google es una de esas soluciones que aborda algunos problemas, pero hace poco para controlar los permisos disponibles para las extensiones.
¿Recuerdas la extensión del navegador que revisa la ortografía y solicita permisos para leer y analizar todo lo que escribes? Los expertos en seguridad cibernética advierten que existe una alta probabilidad de que algunas extensiones estén haciendo un mal uso de su consentimiento para robar las contraseñas que ingresa en el navegador web.
Para ayudar a los usuarios a apreciar los peligros de las extensiones web, la empresa de seguridad digital Talon ha analizado Chrome Web Store para informar que decenas de miles de extensiones tienen acceso a permisos preocupantes, como la capacidad de cambiar datos en todos los sitios visitados, descargar archivos, acceder a la actividad de descarga y más.
“Muchas extensiones populares ponen en riesgo a los usuarios”, explicó Ohad Bobrov, cofundador y CTO de Talon Cyber Security, a Lifewire por correo electrónico. "[Incluso] las extensiones benignas pueden tener vulnerabilidades en su código o en su cadena de suministro, y pueden ser susceptibles de ser adquiridas por actores malintencionados".
Extensiones caprichosas
Talon argumenta que las extensiones ofrecen un gran valor a sus usuarios y brindan una gran cantidad de funciones útiles a los navegadores web, como el bloqueo de anuncios, la revisión ortográfica, la administración de contraseñas y más. Sin embargo, para brindar estas funcionalidades, las extensiones requieren amplios permisos para modificar el navegador, su comportamiento y los sitios web visitados.
“Naturalmente, este nivel de control y acceso por parte de actores externos puede representar amenazas significativas para la seguridad y la privacidad de los usuarios”, explicó Talon.
La compañía agrega que, a pesar del proceso de investigación de Google, muchas extensiones maliciosas logran pasar desapercibidas y terminan afectando negativamente a millones de usuarios. Su análisis reveló que más del 60% de todas las extensiones en Chrome Web Store tienen permisos para leer o cambiar los datos y la actividad del usuario.
Por ejemplo, Talon dice que los correctores ortográficos y gramaticales solicitan permiso para inyectar scripts que se ejecutan desde el contexto de la página web para analizar el texto del usuario. Lo hacen normalmente inspeccionando los campos de entrada o registrando las pulsaciones de teclas del usuario por otros medios. La compañía dice que esto permite efectivamente que las extensiones recopilen y exfiltren cualquier información en la página web, incluidas contraseñas y otros datos confidenciales.
Luego está el bloqueo de anuncios, que constituye una de las principales extensiones de Chrome Web Store. Esta función consiste en eliminar elementos de la página y requiere los mismos permisos que los correctores ortográficos.
No se sabe qué datos se exfiltraron, pero podría haber robado potencialmente cualquier cosa de cualquier página, incluidas las contraseñas.
Del mismo modo, los permisos otorgados para compartir pantalla y las extensiones de videoconferencia para realizar la tarea prevista, también se pueden usar de manera indebida para capturar la pantalla y el audio del usuario.
"Se encontraron dos vulnerabilidades en uBlock Origin en los últimos meses, lo que permitió a los atacantes explotar el permiso de la extensión para leer y cambiar datos en todos los sitios y robar información confidencial de los usuarios", nos dijo Bobrov.
"Los bloqueadores de anuncios como uBlock Origin son extremadamente populares y normalmente tienen acceso a todas las páginas que visita un usuario. Detrás de escena, funcionan con listas de filtros proporcionadas por la comunidad: selectores de CSS que dictan qué elementos bloquear. Estos las listas no son del todo confiables, por lo que están restringidas para evitar que las reglas maliciosas roben datos de los usuarios ", escribió el investigador de seguridad Gareth Heyes mientras demostraba el uso de vulnerabilidades en la extensión para robar contraseñas.
Bobrov también compartió que en 2019 la popular extensión The Great Suspender, que tenía más de dos millones de usuarios, fue comprada por un actor malicioso, que aprovechó sus permisos para inyectar scripts para ejecutar código alojado de forma remota y sin revisar. en páginas web.
"No se sabe qué datos se extrajeron", dijo, "pero podría haber robado potencialmente cualquier cosa de cualquier página, incluidas las contraseñas".
Sin solución real
Bobrov dice que Chrome y prácticamente todos los demás navegadores web líderes están trabajando para contener el riesgo de seguridad que representan las extensiones, no solo mejorando su proceso de investigación sino también limitando algunas de las capacidades de las extensiones.
Uno de estos pasos recientes que señala Bobrov es el Manifiesto V3 de Google. Él dice que para el usuario promedio, la diferencia más notable que Manifest V3 traería a las extensiones es una prohibición total del código alojado de forma remota y un cambio en la forma en que las extensiones modifican las solicitudes web. Sin embargo, agrega que, en el lado negativo, Manifest V3 ha sido criticado por obstaculizar gravemente a los bloqueadores de anuncios.
"Las tendencias más significativas son cerrar las brechas de seguridad, aumentar la visibilidad y el control del usuario final (por ejemplo, qué sitios permiten que se ejecuten las extensiones) y prohibir el código no revisable de las extensiones", dijo Bobrov. "Algunos de estos cambios están incluidos en el Manifiesto V3 de Google. Sin embargo, ninguno de estos cambios altera drásticamente los permisos disponibles para las extensiones".
