Investigadores de la Universidad de Wisconsin-Madison aseguran que 12,5 % de los complementos de la Chrome Web Store están habilitados para recopilar datos sensibles.
Miles de extensiones de Chrome cuentan con los permisos necesarios para extraer información confidencial. Un grupo de investigadores de la Universidad de Wisconsin-Madison, en Estados Unidos, asegura que 12,5 % de los complementos de la Chrome Web Store están habilitados para recopilar datos sensibles de los usuarios, como las contraseñas o números de tarjeta de crédito.
Las extensiones son pequeños programas que se instalan en los navegadores web para mejorar sus capacidades, agregar nuevas funciones, modificar el contenido de las páginas o automatizar tareas, todo ello con el objetivo de mejorar la experiencia de los usuarios. Algunas extensiones, por ejemplo, administran datos de acceso, sirven como herramientas de productividad o ayudan a bloquear anuncios.
Estas extensiones logran su cometido accediendo al contenido de las webs y manipulándolo. Si bien Google ha incorporado varias regulaciones para evitar que actores maliciosos exploren estas funcionalidades y recopilen datos privados, los investigadores de la Universidad de Wisconsin demostraron que es posible eludir las medidas de protección y extraer información sensible utilizando algunos complementos.
El gran problema, explican los responsables del estudio, es que las extensiones todavía pueden revisar todo el contenido de las páginas de internet. Muchas tienen acceso ilimitado al árbol del Modelo de Objetos del Documento (DOM, por sus siglas en inglés) de un sitio, que es la estructura que define la forma en la que se accede y se utiliza. De esta forma, pueden llegar hasta las cajas de texto donde los usuarios escriben sus contraseñas o números de tarjeta de crédito.
Ante esta situación, es fundamental que los usuarios estén conscientes de los riesgos asociados con la instalación indiscriminada de extensiones en sus navegadores. Es importante tomar precauciones y solo instalar las extensiones necesarias y de fuentes confiables. Además, se recomienda revisar periódicamente las extensiones instaladas y desactivar o eliminar aquellas que no se utilicen activamente.
Aunque estos hallazgos plantean preocupaciones legítimas sobre la seguridad y privacidad en el ecosistema de las extensiones para Chrome, Google continúa implementando medidas para fortalecer la protección de los usuarios. Es esencial que los investigadores, desarrolladores y empresas trabajen de manera colaborativa para abordar estos desafíos y garantizar la protección de los datos de los usuarios en el mundo digital.
Crearon una extensión maliciosa y Chrome la aceptó
Para probar lo que decían, el grupo desarrolló su propia extensión maliciosa y la subieron a la Chrome Web Store para su proceso de revisión. Para disfrazar su complemento, lo presentaron como un asistente basado en GPT que ofrecía funciones similares a ChatGPT en las webs. Solicitaron permiso para ejecutarse en todas las páginas. La extensión pasó sin problemas el proceso de verificación en la tienda web de Google Chrome, explica el reporte del estudio.
El grupo de investigadores detectó que más de 1.000 de los sitios web más populares del mundo, incluidos algunos portales de Google y Cloudflare, almacenan contraseñas en texto sin formato dentro del código fuente HTML de sus páginas. Otros 7.300 sitios son vulnerables al acceso al DOM.
«Debido al modelo de permisos de grano grueso de los navegadores, existe una falta de límite de seguridad entre el complemento y la página web», dice el informe. Esta falta de límite permite al complemento interactuar y manipular libremente los elementos HTML. Esto permite la extracción directa de las entradas de los usuarios.
Una vez realizado el experimento, eliminaron inmediatamente la extensión de la tienda web. Siempre la mantuvieron en modo «no publicado» para que los usuarios no pudieran encontrarla e instalarla.
Miles de aplicaciones peligrosas
El grupo de la Universidad de Wisconsin también descargó todas las extensiones disponibles en la Chrome Web Store. Analizaron las funcionalidades y permisos que solicitaban estos complementos. De esta forma, descubrieron que 12,5 % del total tienen los permisos necesarios para explotar las vulnerabilidades descubiertas. Son cerca de 17 mil extensiones, algunas tan populares como AdBlockPlus y Honey, con más de 10 millones de usuarios.
Descubrieron, además, que 190 extensiones acceden directamente a los campos de contraseñas. Esto sugiere que ya algunos desarrolladores estarían intentando explotar la brecha de seguridad.
Si un atacante puede acceder o manipular campos como las cajas de texto, «pueden robar información privada del usuario, suplantar al usuario o cometer fraude financiero», remarca el informe. También alertan que la exposición de estos datos podría ser cosechada por scripts o bots automatizados que escanean webs en busca de vulnerabilidades como estas.
Fuente: hipertextual.com por Juan Carlos Figueroa 1
- Hipertextual, mención de la fuente ↩︎
