Da asporto chiave
- La maggior parte delle estensioni sul Chrome Web Store richiede autorizzazioni pericolose che possono essere utilizzate in modo improprio per scopi dannosi.
- Tutti i browser web stanno cercando di affrontare il problema delle estensioni ribelli.
- Manifest V3 di Google è una di queste soluzioni che affronta alcuni problemi ma fa ben poco per controllare le autorizzazioni disponibili per le estensioni.
Ricordi quell'estensione del browser per il controllo ortografico che richiedeva i permessi per leggere e analizzare tutto ciò che scrivi? Gli esperti di sicurezza informatica avvertono che esiste un' alta probabilità che alcune estensioni stiano abusando del tuo consenso per rubare le password che inserisci nel browser web.
Per aiutare gli utenti ad apprezzare i pericoli delle estensioni web, la società di sicurezza digitale Talon ha analizzato il Chrome Web Store per segnalare che decine di migliaia di estensioni hanno accesso a autorizzazioni preoccupanti, come la possibilità di modificare i dati su tutti i siti visitati, scarica file, accedi all'attività di download e altro ancora.
"Molte estensioni popolari mettono a rischio gli utenti", ha spiegato a Lifewire il co-fondatore e CTO di Talon Cyber Security Ohad Bobrov via e-mail. "[Anche] estensioni benigne possono presentare vulnerabilità nel loro codice o nella catena di approvvigionamento e possono essere soggette a acquisizioni da parte di attori malintenzionati."
Estensioni Wayward
Talon sostiene che le estensioni offrono un grande valore ai propri utenti e apportano una serie di utili funzioni ai browser Web come blocco degli annunci, controllo ortografico, gestione delle password e altro ancora. Tuttavia, per offrire queste funzionalità, le estensioni richiedono ampi permessi per modificare il browser, il suo comportamento e i siti Web visitati.
"Naturalmente, questo livello di controllo e accesso da parte di attori di terze parti può rappresentare una minaccia significativa per la sicurezza e la privacy degli utenti", ha spiegato Talon.
L'azienda aggiunge che, nonostante il processo di verifica di Google, molte estensioni dannose riescono a superare le lacune e finiscono per avere un impatto negativo su milioni di utenti. La sua analisi ha rivelato che oltre il 60% di tutte le estensioni sul Chrome Web Store dispone delle autorizzazioni per leggere o modificare i dati e le attività degli utenti.
Ad esempio, Talon afferma che i correttori ortografici e grammaticali richiedono il permesso di inserire script che vengono eseguiti dal contesto della pagina Web per analizzare il testo dell'utente. Di solito lo fanno ispezionando i campi di input o registrando le sequenze di tasti dell'utente con altri mezzi. La società afferma che ciò consente effettivamente alle estensioni di raccogliere ed esfiltrare qualsiasi informazione sulla pagina Web, comprese password e altri dati sensibili.
Poi c'è il blocco degli annunci, che costituisce alcune delle principali estensioni del Chrome Web Store. Questa funzionalità comporta la rimozione di elementi dalla pagina e richiede le stesse autorizzazioni dei correttori ortografici.
Non si sa quali dati sono stati esfiltrati, ma potrebbe potenzialmente aver rubato qualsiasi cosa da qualsiasi pagina, comprese le password.
Allo stesso modo, le autorizzazioni concesse per la condivisione dello schermo e le estensioni per videoconferenze per svolgere l'attività prevista possono anche essere utilizzate in modo improprio per acquisire lo schermo e l'audio dell'utente.
"Negli ultimi mesi sono state rilevate due vulnerabilità in uBlock Origin, che hanno consentito agli aggressori di sfruttare l'autorizzazione dell'estensione per leggere e modificare i dati su tutti i siti e per rubare informazioni riservate degli utenti", ci ha detto Bobrov.
"Gli ad blocker come uBlock Origin sono estremamente popolari e in genere hanno accesso a ogni pagina visitata da un utente. Dietro le quinte, sono alimentati da elenchi di filtri forniti dalla community: selettori CSS che determinano quali elementi bloccare. Questi gli elenchi non sono del tutto affidabili, quindi sono vincolati per impedire che regole dannose rubino i dati degli utenti ", ha scritto il ricercatore di sicurezza Gareth Heyes mentre ha dimostrato l'utilizzo delle vulnerabilità nell'estensione per rubare le password.
Bobrov ha anche condiviso che nel 2019 la popolare estensione The Great Suspender, che aveva oltre due milioni di utenti, è stata acquistata da un attore malintenzionato, che ha continuato a sfruttare i suoi permessi per iniettare script per eseguire codice non revisionato e ospitato in remoto nelle pagine web.
"Non si sa quali dati sono stati esfiltrati", ha detto, "ma potrebbe potenzialmente aver rubato qualsiasi cosa da qualsiasi pagina, comprese le password."
Nessuna soluzione reale
Bobrov afferma che Chrome e praticamente tutti gli altri principali browser Web stanno lavorando per contenere il rischio per la sicurezza rappresentato dalle estensioni, non solo migliorando il loro processo di verifica ma anche limitando alcune delle capacità delle estensioni.
Uno di questi recenti passi che Bobrov sottolinea è Manifest V3 di Google. Dice che per l'utente medio, la differenza più evidente che Manifest V3 porterebbe alle estensioni è un divieto completo del codice ospitato in remoto e un cambiamento nel modo in cui le estensioni modificano le richieste web. Tuttavia, aggiunge che, come aspetto negativo, Manifest V3 è stato criticato per aver gravemente ostacolato gli ad-blocker.
"Le tendenze più significative sono colmare le lacune di sicurezza, aumentare la visibilità e il controllo degli utenti finali (ad esempio, quali siti consentono l'esecuzione delle estensioni) e vietare il codice non revisionabile dalle estensioni", ha affermato Bobrov. "Alcune di queste modifiche sono incluse in Manifest V3 di Google. Tuttavia, nessuna di queste modifiche altera drasticamente le autorizzazioni disponibili per le estensioni."
