Un’allarmante scoperta ha messo in luce importanti vulnerabilità nel sistema di controllo del Chrome Web Store di Google. Il ricercatore John Tuckner, fondatore della società di analisi di estensioni browser Secure Annex, ha identificato un gruppo di almeno 35 estensioni sospette che hanno accumulato complessivamente oltre 4 milioni di installazioni.

Un rischio per la privacy

Queste estensioni richiedono permessi particolarmente invasivi, tra cui:

Gestione completa delle schede del browser

Accesso ai cookie memorizzati

Intercettazione e modifica delle richieste web

Iniezione di JavaScript nelle pagine web

nelle pagine web Utilizzo dell’API di gestione per interagire con tutte le attività di navigazione

Come sottolinea Tuckner nel suo rapporto pubblicato giovedì: “Queste informazioni dovrebbero essere sufficienti per qualsiasi organizzazione per considerare ragionevolmente di eliminare queste estensioni dal proprio ambiente, poiché presentano rischi inutili”.

Tecniche di occultamento sofisticate

Le estensioni identificate condividono diverse caratteristiche sospette:

Codice altamente offuscato

34 su 35 estensioni si collegano al dominio dubbio “ unknow.com “

“ Ben 34 sono “non elencate” nel Chrome Web Store, visibili solo a chi possiede l’URL completo

Sorprendentemente, 10 di esse hanno ottenuto la designazione “Featured” da Google

Il caso più emblematico è “Fire Shield Extension Protection“, un’estensione che ironicamente afferma di controllare il browser per estensioni maligne, ma che in realtà si connette a domini sospetti per caricare dati e scaricare istruzioni.

Un’indagine complessa

Il ricercatore ha tentato di analizzare il comportamento dell’estensione Fire Shield in un ambiente di laboratorio, ma ha incontrato numerosi ostacoli. Quando ha caricato l’ID di un’altra estensione sospetta chiamata “Browse Securely for Chrome”, Fire Shield ha iniziato a inviare vari eventi al server che tracciavano i comportamenti dell’utente, come i siti web visitati, le pagine precedenti e persino le dimensioni dello schermo.

Il ricercatore ha tentato di analizzare il comportamento dell’estensione Fire Shield in un ambiente di laboratorio, ma ha incontrato numerosi ostacoli. Quando ha caricato l’ID di un’altra estensione sospetta chiamata “Browse Securely for Chrome”, Fire Shield ha iniziato a inviare vari eventi al server che tracciavano i comportamenti dell’utente, come i siti web visitati, le pagine precedenti e persino le dimensioni dello schermo.