Chrome, allarme estensioni: scoperti 35 malware con oltre 4 mln di installazioni
Google Chrome: allarme per 35 estensioni sospette nel Web Store che raccolgono dati da oltre 4 milioni di dispositivi. Scoperti codici offuscati e connessioni a server dubbi.
Un’allarmante scoperta ha messo in luce importanti vulnerabilità nel sistema di controllo del Chrome Web Store di Google. Il ricercatore John Tuckner, fondatore della società di analisi di estensioni browser Secure Annex, ha identificato un gruppo di almeno 35 estensioni sospette che hanno accumulato complessivamente oltre 4 milioni di installazioni.
Un rischio per la privacy
Queste estensioni richiedono permessi particolarmente invasivi, tra cui:
- Gestione completa delle schede del browser
- Accesso ai cookie memorizzati
- Intercettazione e modifica delle richieste web
- Iniezione di JavaScript nelle pagine web
- Utilizzo dell’API di gestione per interagire con tutte le attività di navigazione
Come sottolinea Tuckner nel suo rapporto pubblicato giovedì: “Queste informazioni dovrebbero essere sufficienti per qualsiasi organizzazione per considerare ragionevolmente di eliminare queste estensioni dal proprio ambiente, poiché presentano rischi inutili”.
Tecniche di occultamento sofisticate
Le estensioni identificate condividono diverse caratteristiche sospette:
- Codice altamente offuscato
- 34 su 35 estensioni si collegano al dominio dubbio “unknow.com“
- Ben 34 sono “non elencate” nel Chrome Web Store, visibili solo a chi possiede l’URL completo
- Sorprendentemente, 10 di esse hanno ottenuto la designazione “Featured” da Google
Il caso più emblematico è “Fire Shield Extension Protection“, un’estensione che ironicamente afferma di controllare il browser per estensioni maligne, ma che in realtà si connette a domini sospetti per caricare dati e scaricare istruzioni.
Un’indagine complessa
Il ricercatore ha tentato di analizzare il comportamento dell’estensione Fire Shield in un ambiente di laboratorio, ma ha incontrato numerosi ostacoli. Quando ha caricato l’ID di un’altra estensione sospetta chiamata “Browse Securely for Chrome”, Fire Shield ha iniziato a inviare vari eventi al server che tracciavano i comportamenti dell’utente, come i siti web visitati, le pagine precedenti e persino le dimensioni dello schermo.
Il ricercatore ha tentato di analizzare il comportamento dell’estensione Fire Shield in un ambiente di laboratorio, ma ha incontrato numerosi ostacoli. Quando ha caricato l’ID di un’altra estensione sospetta chiamata “Browse Securely for Chrome”, Fire Shield ha iniziato a inviare vari eventi al server che tracciavano i comportamenti dell’utente, come i siti web visitati, le pagine precedenti e persino le dimensioni dello schermo.
