{"id":24531,"date":"2025-12-09T09:00:21","date_gmt":"2025-12-09T12:00:21","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24531"},"modified":"2025-12-02T12:28:27","modified_gmt":"2025-12-02T15:28:27","slug":"chrome-extension-security-validation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/chrome-extension-security-validation\/24531\/","title":{"rendered":"Extens\u00f5es de navegador: nunca confie, sempre verifique"},"content":{"rendered":"<p>As extens\u00f5es de navegador mal-intencionadas continuam sendo um ponto cego significativo para as equipes de ciberseguran\u00e7a de muitas organiza\u00e7\u00f5es. Elas se tornaram um elemento permanente no arsenal dos criminosos cibern\u00e9ticos, sendo usadas para roubo de sess\u00e3o e conta, espionagem, mascaramento de outras atividades criminosas, fraude em an\u00fancios e roubo de criptomoedas. Os incidentes de alto perfil envolvendo extens\u00f5es mal-intencionadas s\u00e3o frequentes, abrangendo desde o <a href=\"https:\/\/www.kaspersky.com\/blog\/chrome-extension-malicious-updates-and-mitigations\/52871\/\" target=\"_blank\" rel=\"noopener nofollow\">comprometimento da extens\u00e3o de seguran\u00e7a Cyberhaven<\/a> at\u00e9 a <a href=\"https:\/\/www.kaspersky.com.br\/blog\/suspicious-chrome-extensions-with-6-million-installs\/23908\/\" target=\"_blank\" rel=\"noopener\">publica\u00e7\u00e3o em massa de extens\u00f5es de infostealer<\/a>.<\/p>\n<p>As extens\u00f5es atraem os invasores porque concedem permiss\u00f5es e amplo acesso a informa\u00e7\u00f5es dentro de aplicativos SaaS e sites. Como n\u00e3o s\u00e3o aplicativos independentes, geralmente passam despercebidas pelas pol\u00edticas de seguran\u00e7a e ferramentas de controle padr\u00e3o.<\/p>\n<p>A equipe de seguran\u00e7a de uma empresa deve abordar esse problema de forma sistem\u00e1tica. O gerenciamento de extens\u00f5es de navegador exige combinar ferramentas de pol\u00edtica com servi\u00e7os ou utilit\u00e1rios focados na an\u00e1lise de extens\u00f5es. Este t\u00f3pico foi o foco da palestra de Athanasios Giatsos no <a href=\"https:\/\/thesascon.com\" target=\"_blank\" rel=\"noopener nofollow\">Security Analyst Summit 2025<\/a>.<\/p>\n<h2>Recursos de amea\u00e7a de extens\u00f5es da Web e inova\u00e7\u00f5es no Manifest V3<\/h2>\n<p>A extens\u00e3o da Web de um navegador tem amplo acesso \u00e0s informa\u00e7\u00f5es da p\u00e1gina da Web: ela pode ler e modificar qualquer dado dispon\u00edvel para o usu\u00e1rio por meio do aplicativo da Web, incluindo registros financeiros ou m\u00e9dicos. As extens\u00f5es tamb\u00e9m acessam dados importantes sem que o usu\u00e1rio perceba como cookies, armazenamento local e configura\u00e7\u00f5es de proxy. Isso simplifica bastante o sequestro de sess\u00e3o. \u00c0s vezes, as extens\u00f5es v\u00e3o muito al\u00e9m das p\u00e1ginas da Web: elas podem acessar a localiza\u00e7\u00e3o do usu\u00e1rio, downloads do navegador, captura de tela da \u00e1rea de trabalho, conte\u00fado da \u00e1rea de transfer\u00eancia e notifica\u00e7\u00f5es do navegador.<\/p>\n<p>Na arquitetura de extens\u00f5es anteriormente dominante, as extens\u00f5es do Manifest V2, que funcionavam no Chrome, Edge, Opera, Vivaldi, Firefox e Safari, s\u00e3o praticamente indistingu\u00edveis de aplicativos completos em termos de recursos. Elas podem executar scripts em segundo plano continuamente, manter p\u00e1ginas da Web invis\u00edveis abertas, carregar e executar scripts de sites externos e comunicar-se com sites arbitr\u00e1rios para recuperar ou enviar dados. Para conter poss\u00edveis abusos, bem como limitar os <a href=\"https:\/\/www.kaspersky.com.br\/blog\/best-private-browser-in-2025\/23519\/\" target=\"_blank\" rel=\"noopener\">bloqueadores de an\u00fancios<\/a>, o Google fez a transi\u00e7\u00e3o do Chromium e do Chrome para o Manifest V3. A atualiza\u00e7\u00e3o limitou ou bloqueou muitos recursos das extens\u00f5es. As extens\u00f5es precisam declarar todos os sites com que interagem, n\u00e3o podem mais executar c\u00f3digo de terceiros carregado dinamicamente e devem usar microsservi\u00e7os de curta dura\u00e7\u00e3o em vez de scripts persistentes em segundo plano. Embora certos ataques tenham se tornado mais dif\u00edceis com a nova arquitetura, invasores ainda conseguem adaptar o c\u00f3digo mal-intencionado para manter a maior parte das fun\u00e7\u00f5es necess\u00e1rias, mesmo sacrificando a discri\u00e7\u00e3o. Portanto, contar apenas com navegadores e extens\u00f5es que operam sob o Manifest V3 em uma organiza\u00e7\u00e3o simplifica o monitoramento, mas n\u00e3o \u00e9 uma solu\u00e7\u00e3o completa.<\/p>\n<p>Al\u00e9m disso, o V3 n\u00e3o resolve o problema principal das extens\u00f5es: elas geralmente s\u00e3o baixadas de lojas de aplicativos oficiais usando dom\u00ednios leg\u00edtimos do Google, da Microsoft ou da Mozilla. Suas atividades parecem ser iniciadas pelo pr\u00f3prio navegador, tornando extremamente dif\u00edcil distinguir entre as a\u00e7\u00f5es executadas por uma extens\u00e3o e aquelas realizadas manualmente pelo usu\u00e1rio.<\/p>\n<h2>Como surgem as extens\u00f5es mal-intencionadas<\/h2>\n<p>Com base em v\u00e1rios incidentes p\u00fablicos, Athanasios Giatsos destaca diversos cen\u00e1rios em que as extens\u00f5es mal-intencionadas podem surgir:<\/p>\n<ul>\n<li>O desenvolvedor original vende uma extens\u00e3o leg\u00edtima e popular. O comprador ent\u00e3o a \u201caprimora\u201d com c\u00f3digo mal-intencionado para exibi\u00e7\u00e3o de an\u00fancios, espionagem ou outros fins nocivos. Exemplos incluem <a href=\"https:\/\/securityaffairs.com\/114272\/malware\/the-great-suspender-extension-malware.html\" target=\"_blank\" rel=\"noopener nofollow\">The Great Suspender<\/a> e <a href=\"https:\/\/krebsonsecurity.com\/2020\/03\/the-case-for-limiting-your-browser-extensions\/\" target=\"_blank\" rel=\"noopener nofollow\">Page Ruler<\/a>.<\/li>\n<li>Os invasores comprometem a conta do desenvolvedor e publicam uma atualiza\u00e7\u00e3o com um cavalo de Troia em uma extens\u00e3o, como foi o caso da <a href=\"https:\/\/www.cyberhaven.com\/engineering-blog\/cyberhavens-preliminary-analysis-of-the-recent-malicious-chrome-extension\" target=\"_blank\" rel=\"noopener nofollow\">Cyberhaven<\/a>.<\/li>\n<li>A extens\u00e3o \u00e9 projetada para ser mal-intencionada desde o in\u00edcio. Ela se disfar\u00e7a como um utilit\u00e1rio relevante, como uma ferramenta falsa <a href=\"https:\/\/www.kaspersky.com.br\/blog\/dangerous-browser-extensions-2023\/22113\/#:~:text=O%20Rilide%20ataca%20usu%C3%A1rios%20de%20navegadores%20baseados%20no%20Chromium\" target=\"_blank\" rel=\"noopener\">Salvar no Google Drive<\/a>, ou imita os nomes e designs de extens\u00f5es populares, como as dezenas de clones do AdBlock dispon\u00edveis.<\/li>\n<li>Uma vers\u00e3o mais sofisticada desse esquema envolve publicar inicialmente a extens\u00e3o em um estado limpo, em que ela executa uma fun\u00e7\u00e3o genuinamente \u00fatil. As adi\u00e7\u00f5es mal-intencionadas s\u00e3o introduzidas semanas ou at\u00e9 meses depois, quando a extens\u00e3o j\u00e1 alcan\u00e7ou popularidade suficiente. A extens\u00e3o <a href=\"https:\/\/www.kaspersky.com.br\/blog\/dangerous-browser-extensions-2023\/22113\/#:~:text=Extens%C3%B5es%20falsas%20do%20ChatGPT%20sequestrando%20contas%20do%20Facebook\" target=\"_blank\" rel=\"noopener\">ChatGPT para o Google<\/a> \u00e9 um exemplo.<\/li>\n<\/ul>\n<p>Em todos esses cen\u00e1rios, ela est\u00e1 amplamente dispon\u00edvel na Chrome Web Store e, \u00e0s vezes, at\u00e9 anunciada. No entanto, h\u00e1 tamb\u00e9m um cen\u00e1rio de ataque direcionado em que p\u00e1ginas ou mensagens de phishing solicitam que as v\u00edtimas instalem uma extens\u00e3o mal-intencionada que <a href=\"https:\/\/www.kaspersky.com.br\/blog\/dangerous-browser-extensions-2023\/22113\/#:~:text=ChromeLoader%3A%20conte%C3%BAdo%20pirata%20contendo%20extens%C3%B5es%20maliciosas\" target=\"_blank\" rel=\"noopener\">n\u00e3o est\u00e1 dispon\u00edvel para o p\u00fablico em geral<\/a>.<\/p>\n<p>A distribui\u00e7\u00e3o centralizada pela Chrome Web Store, somada \u00e0s atualiza\u00e7\u00f5es autom\u00e1ticas do navegador e das extens\u00f5es, frequentemente leva os usu\u00e1rios a instalar sem perceber e sem esfor\u00e7o uma extens\u00e3o mal-intencionada. Se uma extens\u00e3o j\u00e1 instalada em um computador receber uma atualiza\u00e7\u00e3o mal-intencionada, ela ser\u00e1 instalada automaticamente.<\/p>\n<h2>Defesas organizacionais contra extens\u00f5es mal-intencionadas<\/h2>\n<p>Em sua palestra, Athanasios fez uma s\u00e9rie de recomenda\u00e7\u00f5es gerais:<\/p>\n<ul>\n<li>Adotar uma pol\u00edtica da empresa para o uso de extens\u00f5es de navegador.<\/li>\n<li>Proibir qualquer extens\u00e3o que n\u00e3o esteja explicitamente inclu\u00edda em uma lista aprovada pelos departamentos de ciberseguran\u00e7a e TI.<\/li>\n<li>Fazer auditoria cont\u00ednua de todas as extens\u00f5es instaladas e suas vers\u00f5es.<\/li>\n<li>Quando as extens\u00f5es forem atualizadas, acompanhe as permiss\u00f5es concedidas e verifique mudan\u00e7as na propriedade ou na equipe de desenvolvedores.<\/li>\n<li>Incluir orienta\u00e7\u00f5es claras sobre riscos e regras para o uso de extens\u00f5es nos treinamentos de conscientiza\u00e7\u00e3o de seguran\u00e7a para todos os funcion\u00e1rios.<\/li>\n<\/ul>\n<p>Acrescentamos algumas informa\u00e7\u00f5es pr\u00e1ticas e considera\u00e7\u00f5es espec\u00edficas para essas recomenda\u00e7\u00f5es.<\/p>\n<p><strong>Lista restrita de extens\u00f5es e navegadores.<\/strong> Al\u00e9m de aplicar pol\u00edticas de seguran\u00e7a ao navegador oficialmente aprovado da empresa, \u00e9 crucial proibir a instala\u00e7\u00e3o de vers\u00f5es port\u00e1teis e de <a href=\"https:\/\/www.kaspersky.com.br\/blog\/ai-browser-security-privacy-risks\/24232\/\" target=\"_blank\" rel=\"noopener\">navegadores de IA populares, como o Comet<\/a>,ou outras solu\u00e7\u00f5es n\u00e3o autorizadas que permitem a instala\u00e7\u00e3o das mesmas extens\u00f5es perigosas. Ao implementar essa etapa, restrinja os privil\u00e9gios de administrador local \u00e0 equipe de TI e \u00e0s demais pessoas cujas fun\u00e7\u00f5es realmente exijam esse n\u00edvel de acesso.<\/p>\n<p>Como parte da pol\u00edtica do navegador principal da empresa, voc\u00ea deve desativar o modo de desenvolvedor e proibir a instala\u00e7\u00e3o de extens\u00f5es a partir de arquivos locais. Para o Chrome, gerencie isso por meio do <a href=\"https:\/\/support.google.com\/chrome\/a\/answer\/6177431?hl=pt-BR\" target=\"_blank\" rel=\"noopener nofollow\">Admin Console<\/a>. Essas configura\u00e7\u00f5es tamb\u00e9m est\u00e3o dispon\u00edveis por meio de Pol\u00edticas de Grupo do Windows, perfis de configura\u00e7\u00e3o do macOS ou por meio de um <a href=\"https:\/\/support.google.com\/chrome\/a\/answer\/7517525?hl=pt-BR\" target=\"_blank\" rel=\"noopener nofollow\">arquivo de pol\u00edtica JSON<\/a> no Linux.<\/p>\n<p><strong>Atualiza\u00e7\u00f5es gerenciadas.<\/strong> Implemente a <a href=\"https:\/\/support.google.com\/chrome\/a\/answer\/11190170?hl=pt-BR\" target=\"_blank\" rel=\"noopener nofollow\">fixa\u00e7\u00e3o de vers\u00e3o<\/a> para impedir que as atualiza\u00e7\u00f5es de extens\u00f5es permitidas sejam imediatamente instaladas em toda a empresa. As equipes de TI e de ciberseguran\u00e7a precisam testar regularmente as novas vers\u00f5es das extens\u00f5es aprovadas e fixar as vers\u00f5es atualizadas somente depois de terem sido verificadas.<\/p>\n<p><strong>Prote\u00e7\u00e3o multicamadas.<\/strong> \u00c9 obrigat\u00f3ria a instala\u00e7\u00e3o de um <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/endpoint-detection-response-edr?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">agente EDR<\/a> em todos os dispositivos corporativos para impedir que os usu\u00e1rios iniciem navegadores n\u00e3o autorizados, mitigar os riscos de visita em sites de phishing mal-intencionados e bloquear downloads de malware. Tamb\u00e9m \u00e9 necess\u00e1rio rastrear solicita\u00e7\u00f5es de DNS e tr\u00e1fego de rede do navegador no n\u00edvel do firewall para detec\u00e7\u00e3o em tempo real de comunica\u00e7\u00f5es com hosts suspeitos e outras anomalias.<\/p>\n<p><strong>Monitoramento cont\u00ednuo.<\/strong> Use solu\u00e7\u00f5es de EDR e <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/unified-monitoring-and-analysis-platform?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">SIEM<\/a> para coletar informa\u00e7\u00f5es do estado do navegador das esta\u00e7\u00f5es de trabalho dos funcion\u00e1rios. Isso inclui a lista de extens\u00f5es em cada navegador instalado, juntamente com os arquivos de manifesto para an\u00e1lise de vers\u00e3o e permiss\u00e3o. Isso permite a detec\u00e7\u00e3o r\u00e1pida de novas extens\u00f5es que est\u00e3o sendo instaladas ou da vers\u00e3o que est\u00e1 sendo atualizada e as altera\u00e7\u00f5es de permiss\u00e3o concedidas.<\/p>\n<h2>Como verificar as extens\u00f5es do navegador<\/h2>\n<p>Para implementar os controles discutidos acima, a empresa precisa de um banco de dados interno de extens\u00f5es aprovadas e proibidas. Infelizmente, as lojas de aplicativos e os pr\u00f3prios navegadores n\u00e3o oferecem mecanismos para avaliar o risco em uma escala organizacional ou para preencher automaticamente essa lista. Portanto, a equipe de ciberseguran\u00e7a precisa criar esse processo e a lista. Os funcion\u00e1rios tamb\u00e9m precisar\u00e3o de um procedimento formal para enviar solicita\u00e7\u00f5es para adicionar extens\u00f5es \u00e0 lista aprovada.<\/p>\n<p>A avalia\u00e7\u00e3o das necessidades da empresa e das alternativas dispon\u00edveis \u00e9 melhor conduzida com um representante da respectiva unidade de neg\u00f3cios. No entanto, a avalia\u00e7\u00e3o de risco continua sendo de inteira responsabilidade da equipe de seguran\u00e7a. N\u00e3o \u00e9 necess\u00e1rio baixar extens\u00f5es manualmente e ver suas refer\u00eancias em diferentes reposit\u00f3rios de extens\u00f5es. Essa tarefa pode ser realizada por v\u00e1rias ferramentas, como utilit\u00e1rios de c\u00f3digo aberto, servi\u00e7os on-line gratuitos e plataformas comerciais.<\/p>\n<p>Servi\u00e7os como <a href=\"https:\/\/spin.ai\/application-risk-assessment\/\" target=\"_blank\" rel=\"noopener nofollow\">Spin.AI<\/a> e <a href=\"https:\/\/dex.koi.security\/\" target=\"_blank\" rel=\"noopener nofollow\">Koidex<\/a> (anteriormente ExtensionTotal) podem ser usados para avaliar o risco geral. Ambos mant\u00eam um banco de dados de extens\u00f5es populares, de modo que a avalia\u00e7\u00e3o geralmente seja instant\u00e2nea. Eles usam LLMs para gerar um breve resumo das propriedades da extens\u00e3o, mas tamb\u00e9m fornecem uma an\u00e1lise detalhada, incluindo as permiss\u00f5es necess\u00e1rias, o perfil do desenvolvedor e o hist\u00f3rico de vers\u00f5es, classifica\u00e7\u00f5es e downloads.<\/p>\n<p>Para analisar os dados principais das extens\u00f5es, voc\u00ea tamb\u00e9m pode usar o <a href=\"https:\/\/chrome-stats.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Chrome-Stats<\/a>. Embora tenha sido projetado principalmente para desenvolvedores de extens\u00f5es, esse servi\u00e7o exibe classifica\u00e7\u00f5es, avalia\u00e7\u00f5es e outros dados da loja. Ele permite que usu\u00e1rios baixem a vers\u00e3o atual e vers\u00f5es anteriores de uma extens\u00e3o, facilitando a investiga\u00e7\u00e3o de incidentes.<\/p>\n<p>Voc\u00ea pode utilizar ferramentas, como o <a href=\"https:\/\/github.com\/Rob--W\/crxviewer\" target=\"_blank\" rel=\"noopener nofollow\">CRX Viewer<\/a>, para uma an\u00e1lise mais detalhada das extens\u00f5es suspeitas ou cr\u00edticas para a opera\u00e7\u00e3o. Essa ferramenta permite que os analistas examinem os componentes internos da extens\u00e3o, filtrando e exibindo o conte\u00fado de forma pr\u00e1tica, com \u00eanfase no c\u00f3digo HTML e JavaScript.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"23922\">\n","protected":false},"excerpt":{"rendered":"<p>Medidas e ferramentas sistem\u00e1ticas que as organiza\u00e7\u00f5es podem usar para se defender contra extens\u00f5es mal-intencionadas de navegador.<\/p>\n","protected":false},"author":2722,"featured_media":24532,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[218,30,798,1700,1702,226,1448,2615,141,102,77,3393],"class_list":{"0":"post-24531","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ameacas","11":"tag-chrome","12":"tag-empresas","13":"tag-extensoes","14":"tag-firefox","15":"tag-fraude","16":"tag-navegadores","17":"tag-safari","18":"tag-sas","19":"tag-senhas","20":"tag-tecnologia","21":"tag-thesas2025"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/chrome-extension-security-validation\/24531\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/chrome-extension-security-validation\/29851\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/chrome-extension-security-validation\/24921\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/chrome-extension-security-validation\/13036\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/chrome-extension-security-validation\/29747\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/chrome-extension-security-validation\/28795\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/chrome-extension-security-validation\/40914\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/chrome-extension-security-validation\/54795\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/chrome-extension-security-validation\/23425\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/chrome-extension-security-validation\/35680\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/chrome-extension-security-validation\/35308\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/navegadores\/","name":"navegadores"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24531","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24531"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24531\/revisions"}],"predecessor-version":[{"id":24534,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24531\/revisions\/24534"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24532"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24531"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24531"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24531"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}