Semelhança nos códigos permitiu identificação de extensões instaladas por mais de 1,7 milhão de pessoas. Extensões para o Chrome capturavam ‘cookies’ e a área de transferência (CTRL-C) dos usuários.
Reprodução
A pesquisadora de segurança Jamila Kaya revelou que mais de 500 extensões para o navegador Google Chrome estavam coletando dados de navegação dos usuários e fraudando anunciantes com o download de anúncios publicitários que nunca eram exibidos para os usuários.
Em vários casos, as vítimas eram redirecionadas para sites maliciosos. As extensões solicitavam vários dados do usuário, inclusive o conteúdo da área de transferência (a área temporária quando se usa o recurso de “Copiar”, ou “CTRL-C”) e cookies (que podem dar acesso a serviços sem a necessidade de digitar a senha).
O que são ‘cookies’ na web e quais riscos eles representam?
Jamila usou a CRXcavator, uma ferramenta da empresa de segurança Duo Security, pertencente à Cisco, para identificar comportamentos suspeitos em extensões do Chrome. A companhia, por meio do especialista Jacob Rickerd, criador da CRXcavator, auxiliou a pesquisadora no contato com o Google, que removeu todas as extensões presentes na Chrome Web Store, o repositório oficial desses componentes.
A campanha maliciosa estava ativa pelo menos desde janeiro de 2019. No entanto, alguns dos endereços web envolvidos na fraude foram registrados em 2017, indicando a possibilidade de que eles já estavam em uso antes das primeiras extensões encontradas serem cadastradas na Chrome Web Store.
Os pesquisadores identificaram 70 extensões com 1,7 milhão de usuários. Mas, quando a informação foi repassada ao Google, a empresa realizou uma varredura em toda a Chrome Web Store e identificou as 500 extensões. O número total de usuários de todos esses componentes não foi revelado.
Quem baixou alguma das extensões maliciosas deve receber um aviso no navegador alertando que ela foi desativada.
Segundo o levantamento, o código das extensões era praticamente idêntico, modificando apenas os endereços web acessados e o nome das funções. Isso era feito para burlar as medidas de segurança da Chrome Web Store.
Apesar das semelhanças no código, o conteúdo prometido pelas extensões era variado. A maioria alegava liberar o acesso a jogos, classificado ou promoções.
Regras novas
A publicação de extensões maliciosas na Chrome Web Store levou o Google a modificar as regras para desenvolvedores que quiserem acessar o público do navegador em 2019. A empresa agora exige que extensões solicitem o mínimo de acesso possível às informações do usuário.
Desde julho de 2019, uma extensão também pode ser removida da loja caso ela seja divulgada com botões de ação confusos que não deixem claro que o usuário está realizando a instalação do conteúdo.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Comentar