Jeremy Kirk
Especialistas em segurança analisaram 48 mil extensões para o navegador da Google e descobriram que centenas delas fazem coisas pouco lícitas
Um estudo analítico de 48 mil extensões do browser Google Chrome, realizado por especialistas em segurança, descobriu que muitas delas são usadas para fraude e roubo de dados e que tais ações são feitas sem que o usuário perceba.
O estudo, de autoria dos pesquisadores Neha Chachra, Christopher Kruegel, Chris Grier, Giovanni Vigna e Vern Paxson, será mostrado na próxima quinta-feira (21/08) no evento Usenix Security Symposium, em San Diego.
O trabalho visa apresentar o cenário de problemas de segurança no contexto das extensões de browsers na medida em que mais e mais cibercriminosos se aproveitam dos dados armazenados nos navegadores para lucrar às custas dos usuários incautos.
Mais de 4 mil suspeitos
Os pesquisadores descobriram 130 extensões claramente maliciosas e outras 4.712 suspeitas envolvidas em uma grande variedade de fraudes, roubo de credenciais, fraude em publicidade online e abuso de redes sociais. Algumas das extensões suspeitas tinham tido milhões de downloads.
“Ao instalar uma extensão você não vai perceber o comportamento criminoso, mas assim que visitar certas páginas específicas de web vai ativar o código malicioso", disse Alexandros Kapravelos, candidato a doutorado na Universidade da Califórnia em Santa Bárbara, durante entrevista por telefone.
Os pesquisadores desenvolveram um sistema chamado Hulk que acompanha de perto como as extensões dos browsers se comportam quando interagem com websites. Uma parte do processo envolveu a criação de “HoneyPages”, que são páginas web feitas especialmente para atrair o comportamento malicioso.
Abuso de poder
Porque as extensões adicionam funcionalidades extras ao browser, elas ganham muito poder. Extensões geralmente solicitam permissões para os usuários que vêm das APIs (application programming interfaces) do Chrome. Por exemplo, extensões podem interceptar requisições do browser para a web, modificar o pedido e injetar código JavaScript nas páginas web.
Durante o estudo os pesquisadores trabalharam próximos da Google. A empresa faz reviews das extensões antes de liberar sua entrada na Web Store do Chrome, mas isso não impediu a entrada das extensões "do mal".
Por causa do estudo, a Google tem implementado várias mudanças para fortalecer seus controles sobre as extensões. Agora está mais difícil instalar extensões fora da Web Store, uma prática conhecida como “side loading", diz Chris Grier, pesquisador de segurança da Universidade da Califórnia em Berkeley e um dos autores do estudo.
Foram encontradas poucas extensões que tentam interferir em sessões de online banking, segundo Grier, mas análises mais aprofundadas podem ainda revelar comportamentos malignos que estão muito bem escondidos, diz ele.
Rastreando navegações
Uma extensão voltada para os usuários chineses, por exemplo, tinha tido 5,5 milhões de downloads. Ela usa um beacon de rastreamento para reportar a um servidor remoto todas as páginas web visitadas por uma pessoa . Esses reports não são enviados utilizando criptografia com SSL (Secure Sockets Layer).
“Embora isso não seja criminoso, certamente expõe os usuários chineses a um novo conjunto de riscos, porque seu conteúdo não está mais criptografado e não há garantias de confidencialidade. Mesmo para usuários fora da China, o risco é grande de ter todo pedido http comunicado para um servidor remoto", diz Grier.
Roubo de comissão e publicidade
Um outro exemplo de comportamento de risco foi identificado em várias extensões que mudam ou adicionam parâmetros dentro de uma URL para realizar fraude de vendas afiliadas. Empresas de varejo como a Amazon, por exemplo, pagam uma pequena comissão para webmasters, conhecidos como afiliados, quando alguém clica em um link em seu website que leva a uma página de venda de produto.
A transação é identificada pela adição de um código correspondente ao afiliado na url que requisita a página de venda do site de varejo. O que essas extensões fraudulentas fazem é trocar o código de afiliado legítimo por um outro delas e, com isso, ganhando crédito pela venda ao invés do site que gerou o acesso. Desde que a Google viu o estudo, ela adicionou o item de fraude de afiliados na sua lista de checagem de extensões, diz Grier.
Os pesquisadores também encontraram exemplos de extensões que mudam a publicidade de um site substituindo-a pela sua publicidade para conseguir ganhar dinheiro com o tráfego alheio. Algumas vezes as extensões trocam os anúncios em banners, injetam anúncios em sites que não contêm anúncios, como a Wikipedia, ou apresentam publicidade no topo da tela sobre o conteúdo do site original.
