Mais de 300 extensões Chrome expõem dados de milhões de utilizadores

Mais de 300 extensões do Chrome foram identificadas como maliciosas ou vulneráveis a fugas de informação, expondo dados sensíveis de utilizadores. No total, as extensões acumulam mais de 37,4 milhões de downloads.

A investigação, conduzida pelo investigador de segurança conhecido como Q Continuum, analisou o tráfego de rede gerado por extensões do navegador e identificou 287 aplicações que transmitiam histórico de navegação ou resultados de páginas de pesquisa (SERP).

Segundo o investigador, algumas extensões expunham dados em redes não seguras, enquanto outras enviavam a informação para servidores de recolha, seja por funcionalidades internas de monetização, seja com intenção maliciosa.

Entre as aplicações analisadas, 153 extensões, instaladas por cerca de 27,2 milhões de utilizadores, foram confirmadas como responsáveis por fuga de histórico de navegação imediatamente após a instalação.

Q Continuum sinalizou ainda mais de 200 extensões adicionais como suspeitas, devido à partilha de dados de autor com as extensões já identificadas. Durante a investigação, quatro scrapers foram observados a interagir com um honeypot configurado para o estudo.

Com base na análise, o investigador considera que a monetização poderá estar associada a um data broker, e não necessariamente aos próprios programadores das extensões. No total, foram identificadas ligações a 32 entidades, incluindo conexões com distribuidores conhecidos de extensões spyware.

Num relatório separado, a empresa LayerX analisou 30 extensões Chrome com mais de 260 mil downloads que apresentavam comportamento malicioso, incluindo a injeção de iframes para manipulação de conteúdos e recolha de dados de navegação.

Disfarçadas como ferramentas de assistência baseadas em IA, estas extensões partilhavam “a mesma estrutura interna, lógica JavaScript, permissões e infraestrutura backend”, o que indica uma operação coordenada.

Uma das extensões analisadas criava um iframe em ecrã completo direcionado para um domínio remoto, permitindo ao atacante carregar conteúdo externo e manipular diretamente a interface do utilizador.

As capacidades identificadas incluem extração de dados do separador ativo, reconhecimento de voz ativado por mensagens e scripts de tracking pixel incorporados.

De acordo com a LayerX, 15 extensões tinham como alvo específico o Gmail, extraindo conteúdos de emails e transmitindo-os para infraestrutura de terceiros.

Os investigadores alertam que extensões de navegador representam um vetor de risco crescente, sobretudo quando solicitam permissões amplas e acesso a dados de navegação, sublinhando a importância de auditorias regulares e revisão criteriosa das permissões concedidas.