57 extensões suspeitas do Chrome somam 6 milhões de instalações

Pesquisadores de segurança cibernética descobriram 57 extensões suspeitas na Chrome Web Store oficial utilizadas por mais de 6 milhões de usuários. Os plug-ins chamaram a atenção porque as permissões solicitadas não correspondem às descrições deles.

Além disso, essas extensões estão “ocultas”, o que significa que elas não aparecem nas pesquisas da Chrome Web Store e não são indexadas aos mecanismos de pesquisa. Para instalar esses plug-ins, é necessário acessar um link direto na Chrome Web Store. Esta postagem mostra por que as extensões podem ser uma ferramenta perigosa nas mãos de cibercriminosos, explica a ameaça direta representada por esses plug-ins descobertos a pouco tempo e dá dicas sobre como se proteger.

Por que as extensões são perigosas e como a conveniência pode prejudicar a segurança

Já fizemos várias postagens explicando por que as extensões de navegadores não devem ser instaladas de forma leviana. Os plug-ins dos navegadores geralmente ajudam os usuários a fazer tarefas de rotina mais rápido, como traduzir informações em sites ou verificar a ortografia de palavras. No entanto, o tempo economizado geralmente custa a privacidade e a segurança dos usuários.

Isso acontece porque, para funcionar com eficiência, as extensões normalmente precisam ter acesso a tudo o que você faz no navegador. Até o Google Tradutor pede permissão para “ler e alterar todas as suas informações em todos os sites” que você visita, ou seja, ele não apenas consegue monitorar o que você faz na Internet, mas também alterar qualquer informação em uma página. Ele pode, por exemplo, exibir a tradução ao invés do texto original. Se um tradutor on-line pode fazer isso, imagine o que uma extensão maliciosa com a mesma permissão de acesso pode fazer!

O problema é que a maioria dos usuários não conhece os riscos representados pelos plug-ins. Enquanto os arquivos executáveis de fontes não confiáveis passaram a ser vistos como potencialmente perigosos, as extensões dos navegadores desfrutam de um nível de confiança alto, especialmente se forem baixadas de uma loja oficial.

Muitas permissões desnecessárias

No caso das 57 extensões suspeitas encontradas na Chrome Web Store, o principal sinal que indica que elas são maliciosas é a quantidade enorme de permissões solicitadas, como o acesso a cookies, incluindo os de autenticação.

Na prática, isso permite que os invasores roubem cookies de sessão dos dispositivos das vítimas, e esses cookies de sessão são utilizados para evitar que os usuários tenham que digitar uma senha sempre que visitarem um site. Esses cookies também permitem que os golpistas façam login nas contas pessoais das vítimas em redes sociais ou lojas on-line.

Além disso, as permissões solicitadas permitem que as extensões maliciosas façam várias coisas interessantes, incluindo:

• rastrear as ações do usuário no Chrome
• alterar o mecanismo de pesquisa padrão e modificar os resultados das pesquisas
• injetar e executar scripts em páginas visitadas por usuários
• ativar o rastreamento remoto avançado das ações do usuário

Como a investigação teve início

O pesquisador de segurança cibernética John Tuckner descobriu as extensões suspeitas depois de examinar o código de uma delas: a Fire Shield Extension Protection. Tuckner identificou inicialmente essa extensão porque ela foi disponibilizada na loja oficial do Chrome de forma oculta: ela não aparecia nos resultados da pesquisa e era acessível apenas por meio de um link direto para a sua página na Chrome Web Store.

Fique sabendo que ocultar extensões e aplicativos em lojas oficiais não é uma prática desconhecida. As grandes plataformas permitem que os desenvolvedores os escondam para que não sejam percebidos pelos usuários comuns. Essa prática costuma ser realizada apenas pelos proprietários de software corporativo privado e destina-se ao uso exclusivo de funcionários de uma determinada empresa. Outro motivo válido para ocultar um produto é quando ele ainda está em estágio de desenvolvimento.

No entanto, as duas explicações podem ser descartadas no caso da Fire Shield Extension Protection, pois a extensão tem mais de 300 mil usuários. Uma ferramenta corporativa privada em estágio de desenvolvimento teria essa quantidade de usuários? É provável que não.

Além disso tudo, os recursos do plug-in não se encaixavam no perfil de uma solução corporativa de alta especialização: a descrição dizia que o Fire Shield verifica as permissões solicitadas por outras extensões instaladas pelo usuário e avisa sobre plug-ins não seguros.

Para executar essas tarefas, ele só precisava de permissão para usar a API chrome.management, o que o permitiria obter informações e gerenciar outros plug-ins instalados. Mas o Fire Shield queria fazer muito mais coisas. Elas foram citadas acima, junto com uma descrição das ameaças associadas a esse nível de acesso.

57 plug-ins disfarçados de ferramentas legítimas

Ao analisar o Fire Shield Extended Protection, Tuckner encontrou uma pista que o levou a descobrir mais 35 plug-ins suspeitos. Entre os links extraídos do código de extensão, ele notou um domínio chamado unknow[.]com (um possível um erro de ortografia de “unknown” (desconhecido, em inglês)). Um erro de digitação em um domínio é um sinal de alerta para qualquer especialista em segurança cibernética, pois esse é um truque comum utilizado por golpistas na esperança de que a vítima não perceba.

Por meio de uma ferramenta especial, Tuckner encontrou mais 35 extensões associadas ao mesmo domínio suspeito. Os nomes das extensões também tinham muitas coisas em comum, o que confirmava a conexão entre elas. E todas elas solicitavam vários direitos de acesso que não correspondiam à descrição delas.

A maioria das extensões suspeitas que Tuckner encontrou descrevia um conjunto de recursos razoavelmente padronizados: bloquear anúncios, melhorar os resultados da pesquisa e proteger a privacidade do usuário. No entanto, muitas não tinham o código para executar essas tarefas. Algumas das extensões pertenciam às mesmas empresas.

Pesquisas adicionais levaram Tuckner a descobrir mais 22 plug-ins suspeitos, alguns dos quais estavam disponíveis ao público (não estavam ocultos). Aqui está a lista completa deles. Listamos apenas as extensões ocultas com o maior número de downloads:

• Fire Shield Extension Protection (300 mil usuários)
• Total Safety for Chrome (300 mil usuários)
• Protecto for Chrome (200 mil usuários)
• Securify for Chrome (200 mil usuários)
• Choose Your Chrome Tools (200 mil usuários)

A moral da história

Tudo isso indica que os invasores querem ocultar plug-ins maliciosos para evitar a detecção deles pelos moderadores oficiais da loja. Ao mesmo tempo, essas extensões geralmente são distribuídas por meio de anúncios de pesquisa ou sites maliciosos.

Os pesquisadores não encontraram vestígios de roubo de senhas de usuários ou cookies pelas extensões suspeitas detectadas. Após um estudo detalhado do código, além de uma série de experimentos, eles concluíram que o rastreamento invasivo da atividade do usuário não ocorre de imediato, mas algum tempo após a instalação da extensão, e pode ser executado por meio de um comando de um servidor remoto.

A natureza do código, a opção de controle remoto, os padrões de comportamento repetidos e a funcionalidade incorporada das extensões nos levam a concluir que todas elas pertencem à mesma família de software espião ou programas de roubo de dados. Por isso, aconselhamos o seguinte:

• verifique se há extensões suspeitas no seu dispositivo (consulte a lista completa).
• baixe somente as extensões que você realmente precisa; faça uma verificação periódica da lista no seu navegador e exclua imediatamente as extensões não utilizadas ou suspeitas.
• instale uma solução de segurança confiável em todos os seus dispositivos para avisar você sobre qualquer perigo em tempo hábil.

Os plug-ins do navegador são mais perigosos do que parecem. Leia também:

• Extensões mal-intencionadas na Chrome Web Store

• Extensões perigosas do Chrome

• Extensões do navegador: mais perigosas do que você pensa

• Extensões de navegador perigosas