{"id":11948,"date":"2019-06-21T15:50:12","date_gmt":"2019-06-21T18:50:12","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11948"},"modified":"2019-11-22T07:03:12","modified_gmt":"2019-11-22T10:03:12","slug":"browser-extensions-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/browser-extensions-security\/11948\/","title":{"rendered":"O perigo das extens\u00f5es de navegadores"},"content":{"rendered":"

Voc\u00ea provavelmente est\u00e1 familiarizado com as extens\u00f5es de navegadores, algo que a maioria de n\u00f3s utiliza diariamente. Elas adicionam funcionalidades \u00fateis, mas ao mesmo tempo, s\u00e3o uma amea\u00e7a tanto para sua privacidade quanto para seguran\u00e7a. Vamos discutir o que h\u00e1 de errado com elas e como voc\u00ea pode assegurar a prote\u00e7\u00e3o dos seus dispositivos. Primeiro, vamos entender o que s\u00e3o exatamente as extens\u00f5es.<\/p>\n

O que s\u00e3o extens\u00f5es de navegadores e por que voc\u00ea precisa delas?<\/strong><\/h3>\n

Uma extens\u00e3o \u00e9 como um plugin para o seu navegador que adiciona certas funcionalidades ao mesmo. As extens\u00f5es podem modificar a interface de usu\u00e1rio ou adicionar algumas op\u00e7\u00f5es de servi\u00e7os web.<\/p>\n

Por exemplo, as extens\u00f5es s\u00e3o utilizadas para bloquear an\u00fancios, traduzir textos, ou adicionar p\u00e1ginas em outros servi\u00e7os de notas como Evernote ou Pocket. As extens\u00f5es s\u00e3o muitas \u2013 existem centenas ou at\u00e9 milhares -para produtividade, customiza\u00e7\u00e3o, compras, jogos e mais.<\/p>\n

Quase todos os navegadores mais populares suportam extens\u00f5es \u2013 voc\u00ea pode encontr\u00e1-las no Chrome e Chromium, Safari, Opera, Internet Explorer e Edge. Elas est\u00e3o amplamente dispon\u00edveis e algumas s\u00e3o bastante \u00fateis, ent\u00e3o muitas pessoas acabam usando v\u00e1rias.<\/p>\n

O que pode dar errado com as extens\u00f5es?<\/strong><\/h3>\n

Extens\u00f5es maliciosas<\/strong><\/p>\n

Em primeiro lugar, as extens\u00f5es podem ser puramente maliciosas. Isso acontece em sua maioria com aquelas que v\u00eam de sites de terceiros, mas algumas vezes \u2013 como nos casos do Android e da Google Play \u2013 o malware se infiltra<\/a> em lojas oficiais tamb\u00e9m.<\/p>\n

Por exemplo, pesquisadores recentemente descobriram quatro extens\u00f5es na Google Chrome Web Store<\/a> que pareciam inofensivos aplicativos de lembretes, mas na verdade foram pegos gerando lucros para seus criadores ao clicarem secretamente em an\u00fancios pagos por clique.<\/p>\n

Como uma extens\u00e3o pode fazer algo assim? Bom, para fazer qualquer coisa, uma extens\u00e3o requer permiss\u00f5es. O problema \u00e9 que, dentre os navegadores comumente utilizados pelas pessoas, s\u00f3 o Google Chrome pergunta ao usu\u00e1rio se pode conceder essas permiss\u00f5es; outros permitem que as extens\u00f5es fa\u00e7am o que quiserem como padr\u00e3o, e o usu\u00e1rio n\u00e3o tem op\u00e7\u00e3o.<\/p>\n

No entanto, mesmo no Chrome esse gerenciamento de permiss\u00f5es existe apenas na teoria \u2013 na pr\u00e1tica, n\u00e3o funciona. Mesmo as extens\u00f5es mais b\u00e1sicas normalmente exigem permiss\u00e3o para \u201cler e modificar todos os seus dados nos sites que voc\u00ea visita\u201d, o que d\u00e1 a elas o poder de fazer virtualmente o que quiserem com suas informa\u00e7\u00f5es. E se voc\u00ea n\u00e3o conceder essa permiss\u00e3o, n\u00e3o ser\u00e3o instaladas.<\/p>\n

Trope\u00e7amos em outro exemplo de extens\u00f5es maliciosas h\u00e1 algum tempo \u2013 elas estavam sendo usadas por criminosos para espalhar malware no Facebook Messenger.
\n
\nSequestrando e comprando extens\u00f5es<\/strong><\/p>\n

As extens\u00f5es de navegadores s\u00e3o um alvo interessante para os criminosos, porque muitas possuem enormes bases de usu\u00e1rios. E elas s\u00e3o atualizadas automaticamente -se um usu\u00e1rio baixou uma extens\u00e3o inofensiva, pode ser atualizada para se tornar maliciosa; esse update seria baixado para o usu\u00e1rio imediatamente \u2013ele pode nem perceber.<\/p>\n

Um bom desenvolvedor n\u00e3o faria isso, mas a sua conta pode ser sequestrada e uma atualiza\u00e7\u00e3o maliciosa ser disponibilizada na loja oficial em seu nome. Foi isso o que aconteceu quando criminosos utilizaram phishing para conseguirem as credenciais de acesso<\/a> dos desenvolvedores de um plugin popular chamado Copyfish. Nesse caso, o plugin, que originalmente fazia reconhecimento visual, foi utilizado por criminosos para distribuir an\u00fancios adicionais aos usu\u00e1rios.<\/p>\n

\u00c0s vezes, desenvolvedores s\u00e3o abordados por empresas que se oferecem para comprar suas extens\u00f5es por quantias bastante atraentes. As extens\u00f5es normalmente s\u00e3o dif\u00edceis de monetizar, motivo pelo qual os desenvolvedores frequentemente correm para fechar esses acordos. Depois que a empresa compra a extens\u00e3o, pode atualiz\u00e1-la com caracter\u00edsticas maliciosas, e essa atualiza\u00e7\u00e3o ser\u00e1 empurrada para os usu\u00e1rios. Por exemplo, \u00e9 o que aconteceu com a Particle<\/a>, extens\u00e3o popular do Chrome para customizar o YouTube que foi abandonada pelos desenvolvedores. Uma empresa a comprou e imediatamente a transformou em adware.<\/p>\n

N\u00e3o maliciosas, mas perigosas<\/strong><\/p>\n

At\u00e9 mesmo extens\u00f5es que n\u00e3o s\u00e3o maliciosas podem ser perigosas. O perigo aparece porque a maioria delas t\u00eam a habilidade de coletar muitos dados sobre os usu\u00e1rios (lembre-se da permiss\u00e3o de \u201cler e modificar todos os seus dados em sites que voc\u00ea visita\u201d). Para garantir o seu ganha-p\u00e3o, alguns desenvolvedores vendem dados an\u00f4nimos coletados para terceiros. Isso normalmente \u00e9 mencionado no Acordo de Licen\u00e7a ao Usu\u00e1rio Final (EULA) da extens\u00e3o.<\/p>\n

O problema \u00e9 que na maioria das vezes esses dados n\u00e3o se tornam suficientemente an\u00f4nimos, o que leva a problemas s\u00e9rios de privacidade: quem comprou os dados pode identificar os usu\u00e1rios do plugin. Isso aconteceu com o Web of Trust<\/a> \u2013 plugin que j\u00e1 foi muito popular para Chrome, Firefox, Internet Explorer, Opera, Safari e outros navegadores. O plugin era usado para avaliar sites baseado na opini\u00e3o popular. Al\u00e9m disso, a extens\u00e3o coletava todo o hist\u00f3rico de navega\u00e7\u00e3o de seus usu\u00e1rios.<\/p>\n

Um site alem\u00e3o alegou<\/a> que o Web of Trust estava vendendo os dados coletados para terceiros sem torn\u00e1-los devidamente an\u00f4nimos, o que fez com o que o Mozilla retirasse a extens\u00e3o da sua loja. Os criadores da extens\u00e3o ent\u00e3o a removeram de todas as outras lojas de navegadores. No entanto, um m\u00eas depois a extens\u00e3o estava de volta. O Web of Trust n\u00e3o \u00e9 uma extens\u00e3o maliciosa, mas pode prejudicar pessoas expondo seus dados para algu\u00e9m que n\u00e3o deveria saber quais os sites os usu\u00e1rios visitam e o que fazem l\u00e1.<\/p>\n

Como utilizar as extens\u00f5es de maneira segura?<\/strong><\/p>\n

Apesar do fato de que as extens\u00f5es podem ser perigosas, algumas delas s\u00e3o realmente \u00fateis, e \u00e9 por isso que voc\u00ea provavelmente n\u00e3o vai querer abandon\u00e1-las completamente. Continuo usando pelo menos meia d\u00fazia delas, e tenho certeza que duas destas utilizam a permiss\u00e3o de \u201cler e modificar\u201d mencionada anteriormente.<\/p>\n

Pode ser mais seguro n\u00e3o us\u00e1-las, mas isso \u00e9 inconveniente, ent\u00e3o precisamos de uma maneira de usar extens\u00f5es mais ou menos com seguran\u00e7a. Aqui est\u00e1 como:<\/p>\n