La firma de seguridad empresarial ANEX Secure Annex identificó una red de 57 extensiones del navegador, muchas distribuidas de manera no tradicional, que potencialmente expuso a casi 6 millones de usuarios a riesgos de seguridad significativos como el robo de cookies y el seguimiento generalizado.
El Hallazgos, detallados por el investigador John Tuckner , se derivó de una investigación sobre extensiones de cromo”no cotizadas”descubiertas durante una revisión del cliente. Las extensiones no listadas no se pueden descubrir a través de las búsquedas estándar de las tiendas web Chrome y requieren una URL directa para la instalación, un método a veces explotado para distribuir un software potencialmente no deseado o malicioso bajo el radar.
Un elemento común que vincula muchas extensiones extensiones con la comunicación con la comunicación con la comunicación con la comunicación Domain Unknow.com , sugiriendo una estructura coordinada de comando y control. Tuckner señaló que, si bien no se observó la exfiltración de datos directos durante su análisis, las capacidades de las extensiones y el uso del código ofuscado apuntaban fuertemente hacia el potencial de spyware. La capacidad de robar cookies de sesiones es particularmente preocupante, ya que puede permitir a los atacantes evitar la autenticación multifactor y las cuentas de secuestro.
Un patrón de desafíos de seguridad de extensión
El descubrimiento destaca los problemas de seguridad continuos dentro de los ecosistemas de extensión del navegador. La gran escala del problema se detalló 2024 en un estudio que encuentra deficiencias de seguridad notables en la tienda web de Chrome, realizada por investigadores de la Universidad de Stanford y el CISPA Helmholtz Center for Information Security.
su en blanco”, analizando los datos , analizando los datos
The academic study identified common issues contributing to the risk, including the tendency for developers to reuse code from public sources, which can propagate security flaws, and a lack of updates – around 60% of studied Las extensiones nunca habían recibido una.
Esta negligencia permite que las vulnerabilidades persistan; Los investigadores encontraron que la mitad de las extensiones vulnerables conocidas permanecieron disponibles dos años después de la divulgación. Además, la investigación concluyó que”las calificaciones de los usuarios no indican efectivamente la seguridad de las extensiones. Las extensiones maliciosas y benignas a menudo recibieron calificaciones similares”, lo que sugiere que los usuarios no pueden discernir fácilmente los complementos seguros de los riesgosos basados solo en la retroalimentación de la comunidad. Los investigadores recomendaron un monitoreo mejorado de Google, incluidas prácticas como”Detección de similitudes de código”y”extensiones de marcado utilizando bibliotecas obsoletas”.
detección tardía y respuesta de la plataforma
Extensiones problemáticas a menudo se demora antes de eliminar el riesgo. El estudio de Stanford/CISPA encontró que el malware generalmente persistió durante aproximadamente 380 días, mientras que las extensiones vulnerables promediaron 1,248 días alarmantes. Una ilustración marcada proporcionada fue la extensión”telepp”, a la que fue accesible durante 8,5 años antes de identificar su contenido de malware. Tras el informe del Anexo seguro a principios de este año, Google fue notificado y investigado, según los informes, eliminando algunas, pero no todas, de las extensiones identificadas.
, mientras reconoce los desafíos, Google sostiene que las amenazas activas representan una pequeña fracción de actividad general. Benjamin Ackerman, Anunoy Ghosh y David Warren del equipo de seguridad Chrome de Google escribieron 2024 en A blog que seas de un solo porcentaje de un solo porcentaje de todos los males en 2024. No obstante, enfatizaron la necesidad de una vigilancia continua en las extensiones de monitoreo.
Respondiendo específicamente a la investigación de Stanford/CISPA a través de
El portavoz agregó:”Manifest v3 aborda muchas de las preocupaciones destacadas en el informe, incluidos los riesgos posados por los remotos. apoyando la importancia de esa transición”. Google tiene la intención de eliminar el soporte para la plataforma V2 Manifest Manifest por completo a principios de 2025, empujando a los desarrolladores hacia la arquitectura V3 más restringida y teóricamente más segura. .