Una recente indagine ha svelato la pericolosità di decine di estensioni del browser Chrome, apparentemente innocue ma potenzialmente dannose. John Tuckner, fondatore dell'azienda di analisi Secure Annex, ha identificato almeno 35 estensioni che condividono schemi di codice sospetti, si connettono agli stessi server e richiedono permessi eccessivamente invasivi. Collettivamente, questi componenti aggiuntivi hanno accumulato oltre 4 milioni di installazioni, sollevando interrogativi sia sulla loro legittimità che sull'efficacia dei sistemi di controllo di Google.
La scoperta risulta particolarmente allarmante considerando che ben 10 di queste estensioni hanno ricevuto il bollino "Featured" da Google, un riconoscimento teoricamente riservato a sviluppatori verificati che seguono le migliori pratiche tecniche e offrono un'esperienza utente di alta qualità. Le estensioni identificate richiedono permessi estremamente sensibili: possono gestire le schede del browser, accedere ai cookie memorizzati, intercettare e modificare le richieste web, archiviare informazioni in modo persistente, iniettare JavaScript nelle pagine web e interagire con tutti i siti visitati. Un livello di accesso che, secondo Tuckner, rappresenta "un rischio inutile" e dovrebbe essere sufficiente per qualsiasi organizzazione per rimuoverle immediatamente dall'ambiente di lavoro.
Uno degli aspetti più inquietanti di questa rete di estensioni è l'evidente sforzo per nascondere la loro vera natura. Il codice di ciascuna estensione è fortemente offuscato, una scelta progettuale che non offre alcun beneficio se non quello di complicare l'analisi del loro comportamento. Inoltre, tutte tranne una sono "non elencate" nel Chrome Web Store, il che significa che sono visibili solo agli utenti che dispongono dell'URL completo con la stringa pseudocasuale che le identifica.
Questa caratteristica rende impossibile trovare queste estensioni tramite normali ricerche, sollevando diverse domande su come abbiano potuto raggiungere una media di 114.000 installazioni ciascuna. La distribuzione potrebbe avvenire attraverso canali alternativi, o mediante tecniche di marketing ingannevoli che inducono gli utenti a installarle senza comprenderne appieno le implicazioni.
"Fire Shield Extension Protection", ironicamente presentata come uno strumento per identificare estensioni maligne, è un esempio emblematico di questa categoria: analizzando il suo codice, Tuckner ha scoperto collegamenti a domini sospetti utilizzati per caricare dati e scaricare istruzioni, tra cui "unknow.com", un dominio presente anche nelle altre 34 estensioni del gruppo.
Quando il ricercatore ha tentato di analizzare più approfonditamente il comportamento di "Fire Shield", ha incontrato numerosi ostacoli progettati per impedire l'ispezione. L'interfaccia utente mostrava una pagina vuota, cliccando sull'icona non veniva visualizzato alcun menu di opzioni, e il worker in background si connetteva a un URL esterno per eseguire azioni generiche difficili da interpretare.
La svolta nell'indagine è arrivata quando Tuckner ha utilizzato una configurazione pubblicata anni fa su GitHub per un'altra estensione della lista, "Browse Securely for Chrome". Caricando l'ID univoco di questa estensione nella sua installazione di Fire Shield, ha scoperto che iniziava a inviare vari eventi al server, tracciando comportamenti dell'utente come i siti web visitati, le pagine precedenti e persino le dimensioni dello schermo.
Sebbene Tuckner non abbia trovato prove definitive che le estensioni stiano rubando credenziali o informazioni sensibili, il livello di offuscamento del codice, la capacità di essere controllate da remoto e le funzionalità nascoste sono sufficienti per classificarle come potenziali spyware o infostealer. "Questo è il problema e la minaccia che queste estensioni rappresentano quando possono essere controllate a distanza", ha concluso.
Se avete installata una delle estensioni sospette, rimuovetela immediatamente dai vostri dispositivi. Al momento della pubblicazione dell'articolo, Google non ha ancora risposto alle domande riguardanti eventuali indagini in corso o quali processi di verifica siano stati applicati per concedere il marchio "Featured" ad alcune di queste app potenzialmente dannose. Qui di seguito vi lasciamo l'elenco completo delle estensioni sospette.
- Choose Your Chrome Tools
- Fire Shield Chrome Safety
- Safe Search for Chrome
- Fire Shield Extension Protection
- Browser Checkup for Chrome by Doctor
- Protecto for Chrome
- Unbiased Search by Protecto
- Securify Your Browser
- Web Privacy Assistant
- Securify Kid Protection
- Bing Search by Securify
- Browse Securely for Chrome
- Better Browse by SecurySearch
- Check My Permissions for Chrome
- Website Safety for Chrome
- MultiSearch for Chrome
- Global search for Chrome
- Map Search for Chrome
- Watch Tower Overview
- Incognito Shield for Chrome
- In Site Search for Chrome
- Privacy Guard for Chrome
- Yahoo Search by Ghost
- Private Search for Chrome
- Total Safety for Chrome
- Data Shield for Chrome
- Browser WatchDog for Chrome
- Incognito Search for Chrome
- Web Results for Chrome
- Cuponomia - Coupon and Cashback
- Securify for Chrome
- Securify Advanced Web Protection
- News Search for Chrome
- SecuryBrowse for Chrome
- Browse Securely for Chrome