Società di sicurezza aziendale Secure Allegato ha identificato una rete di 57 estensioni del browser, molte distribuite in modo non tradizionale, che potenzialmente hanno esposto quasi 6 milioni di utenti a rischi di sicurezza significativi come il furto di cookie e il monitoraggio pervasivo.
Risultati, dettagliati dal ricercatore John Tuckner , sono derivati da un’indagine su estensioni Chrome “non quotate” scoperte durante una revisione del cliente. Le estensioni non elencate non sono rilevabili tramite ricerche standard di Web Store e richiedono un URL diretto per l’installazione, un metodo a volte sfruttato per distribuire software potenzialmente indesiderato o dannoso sotto il radar.
funzionando , Secure Allegato ha compilato l’elenco di 57 estensioni sospette. L’analisi ha rivelato questi componenti aggiuntivi richiesti ampie autorizzazioni che consentono loro l’accesso ai cookie degli utenti-potenzialmente inclusi token di autenticazione sensibili utilizzati per mantenere le sessioni di accesso-insieme alle capacità per monitorare le abitudini di navigazione, alterazioni di ricerca, iniettare ed eseguire script di dominio href=”http://unknow.com/”target=”_ blank”> Unknow.com , suggerendo una struttura di comando e controllo coordinata. Tuckner ha osservato che mentre non è stata osservata l’esfiltrazione di dati diretti durante la loro analisi, le capacità delle estensioni e l’uso del codice offuscato hanno fortemente indicato il potenziale di spyware. La capacità di rubare i cookie di sessione è particolarmente preoccupante in quanto può consentire agli aggressori di bypassare l’autenticazione multi-fattore e gli account di hijack.
Un modello di sfide alla sicurezza dell’estensione
I problemi di scoperta mettono in evidenza i problemi di sicurezza in corso all’interno degli ecosistemi di estensione del browser. La portata del problema è stata dettagliata nel 2024 in uno studio che ha riscontrato notevoli carenze di sicurezza nel Chrome Web Store, condotte da ricercatori dell’Università di Stanford e del CISPA Helmholtz Center for Information Security.
Lo studio accademico ha identificato le questioni comuni che contribuiscono al rischio, incluso la tendenza, incluso la tendenza, incluso il 60% di problemi di sicurezza, circa 60% di uguale di uguale-circa 60% di uguale di uguale-circa 60% di uguale di uguale-circa 60% di uguale di uguale-circa 60% di uguale di uguale-circa 60% di uguale di uguale-circa 60% di uguale di uguale-circa 60% di uguale di uguale-circa 60% di uguale di uguale-circa 60% di sagom. Le estensioni non ne hanno mai ricevuto uno.
Questa abbandono consente alle vulnerabilità di persistere; I ricercatori hanno scoperto che la metà delle estensioni vulnerabili note è rimasta disponibile due anni dopo la divulgazione. Inoltre, l’indagine ha concluso che”le valutazioni degli utenti non indicano efficacemente la sicurezza delle estensioni. Le estensioni dannose e benigne spesso hanno ricevuto valutazioni simili”, suggerendo che gli utenti non possono facilmente discernere i componenti aggiuntivi sicuri da quelli rischiosi in base al solo feedback della comunità. I ricercatori hanno raccomandato un monitoraggio migliorato da parte di Google, tra cui pratiche come”rilevare le somiglianze del codice”e”estensioni di segnalazione utilizzando librerie obsolete”.
Rilevamento ritardato e risposta alla piattaforma
Estensioni problematiche spesso si soffermano prima della rimozione, aggravando il rischio. Lo studio di Stanford/CISPA ha scoperto che il malware in genere è persistito per circa 380 giorni, mentre le estensioni vulnerabili sono state in media di 1.248 giorni allarmanti. Una netta illustrazione fornita è stata l’estensione”TelAApp”, che era accessibile per 8,5 anni prima che il suo contenuto di malware fosse identificato. A seguito del rapporto di Allegato Secure all’inizio di quest’anno, Google è stato avvisato e secondo quanto riferito ha studiato, rimuovendo alcune, ma non tutte, delle estensioni identificate.
pur riconoscendo le sfide, Google sostiene che le minacce attive rappresentano una piccola frazione di attività complessiva. Benjamin Ackerman, Anunoy Ghosh e David Warren del Chrome Security Team di Google hanno scritto il 2024 in un blog post
