Un recente report pubblicato da Symantec ha acceso i riflettori su una questione delicata ma troppo spesso sottovalutata: la sicurezza delle estensioni per il browser Google Chrome.
Dopo le certificazioni di dubbia fattura abbandonate dal browser della grande G, il famoso browser (il più usato al mondo) ha un’altra sfida da affrontare, insomma.
Secondo quanto rilevato dai ricercatori del team Security Technology and Response, diverse estensioni molto diffuse trasmettono dati sensibili senza alcuna cifratura (via HTTP), o addirittura contengono chiavi API e token di accesso direttamente nel codice sorgente, esponendo milioni di utenti a rischi concreti per la privacy e la sicurezza.
Quali dati vengono trasmessi in chiaro tramite queste estensioni malevole?
Tra le informazioni inviate in HTTP non cifrato e quindi leggibili da chiunque sia in grado di intercettare il traffico di rete (es. su una Wi-Fi pubblica) ci sono:
- domini visitati
- ID univoci della macchina
- dati di sistema operativo
- informazioni sull’uso dell’estensione
- dettagli sulla disinstallazione
In alcuni casi, questi dati vengono inviati ogni volta che si apre una nuova scheda, si visita un sito o si disinstalla l’estensione.
Cosa significa? Chiunque si trovi sulla stessa rete dell’utente (come in un bar, aeroporto o hotel) potrebbe intercettare o manipolare questi dati, esponendo l’utente a furti d’identità, tracciamenti o attacchi mirati.
Estensioni coinvolte (lista parziale)
Ecco alcune delle estensioni coinvolte, ancora disponibili sul Chrome Web Store:
- SEMRush Rank e PI Rank: inviano dati a
rank.trellian.comtramite HTTP. - Browsec VPN: all’atto della disinstallazione contatta un URL non cifrato su Amazon AWS.
- MSN New Tab e MSN Homepage & Bing News: trasmettono identificativi macchina e informazioni utente a
g.ceipmsn.com. - DualSafe Password Manager: invia statistiche via HTTP, un comportamento particolarmente allarmante per un gestore di password.
Codice insicuro: credenziali e token hard-coded
Oltre all’uso di HTTP, molte estensioni contengono API key e token scritti direttamente nel codice, un errore che può essere sfruttato da cybercriminali per:
- sovraccaricare servizi come Google Analytics o Azure
- manipolare dati statistici
- inviare richieste fasulle
- simulare operazioni finanziarie su piattaforme crypto
Tra le estensioni con segreti esposti troviamo:
- AVG Online Security, Speed Dial FVD, SellerSprite – con segreti legati a Google Analytics
- Equatio – con chiave Azure per il riconoscimento vocale
- Awesome Screen Recorder – con chiave AWS per upload su S3
- Trust Wallet – con chiave API per operazioni in Web3/crypto
- TravelArrow – con chiave API per geolocalizzazione su
ip-api.com
Alcune di queste chiavi possono essere usate per caricare contenuti illegali a nome degli sviluppatori o gonfiare i costi di utilizzo dei servizi cloud, mettendo a rischio anche le piattaforme stesse.
Il caso InboxSDK: un problema a cascata
Una menzione a parte merita InboxSDK, una libreria utilizzata da oltre 90 estensioni, tra cui Antidote Connector, che include nel proprio codice chiavi e credenziali accessibili a chiunque.
Il problema? Se una sola libreria contiene segreti, tutte le estensioni che la usano diventano vulnerabili.
Le raccomandazioni di Symantec
I ricercatori suggeriscono alcune buone pratiche fondamentali per chi sviluppa estensioni browser:
- Usare sempre HTTPS per trasmettere dati, in caso esiste addirittura un’estensione apposita per avere HTTPS anche dove tecnicamente non c’è, ossia HTTPS Everywhere;
- Evitare di salvare token e API key nel codice
- Gestire le credenziali lato server, con rotazione periodica delle chiavi
Cosa fare come utenti?
Se usi una delle estensioni elencate, valuta seriamente di disinstallarla finché gli sviluppatori non correggeranno le vulnerabilità. Anche se non sono presenti virus o malware veri e propri, i dati inviati in chiaro possono essere utilizzati per profilazione, phishing o attacchi mirati.
La lezione più importante
Una grande popolarità o un marchio noto non garantiscono sicurezza e le estensioni andrebbero valutate anche in base ai protocolli di rete che usano e alla gestione dei dati.
