CheckBlackList

Ancora Estensioni Chrome a Rischio. Controllate di non avere queste (nel caso cancellatele subito)

Ancora Estensioni Chrome a Rischio. Controllate di non avere queste (nel caso cancellatele subito)

Per chi ha fretta

Un’indagine recente ha evidenziato gravi vulnerabilità in numerose estensioni per browser, che compromettono la privacy e la sicurezza degli utenti. Molte di esse trasmettono dati sensibili senza crittografia o contengono chiavi segrete hard-coded, rendendo le informazioni intercettabili o manipolabili da cybercriminali. È fondamentale rimuovere tempestivamente le estensioni vulnerabili, verificare sempre le autorizzazioni richieste e adottare buone pratiche di navigazione per proteggere i propri dati.

Le estensioni dei browser: un potenziale pericolo per la sicurezza digitale

L’ecosistema dei browser moderni è arricchito da migliaia di estensioni, piccoli software che promettono di migliorare l’esperienza utente, aggiungere funzionalità o ottimizzare la produttività. Tuttavia, un’analisi approfondita ha recentemente messo in luce una realtà preoccupante: molte di queste estensioni presentano gravi falle di sicurezza che espongono milioni di utenti a rischi significativi per la privacy e l’integrità dei dati.

La problematica principale si articola su due fronti: la trasmissione di informazioni sensibili tramite protocolli non protetti e la presenza di dati segreti (come chiavi API e token) direttamente incorporati nel codice delle estensioni. Quando i dati vengono trasmessi senza crittografia (su protocollo HTTP anziché HTTPS), diventano vulnerabili a quello che viene definito un attacco “Adversary-in-the-Middle” (AitM). Questo significa che un aggressore sulla stessa rete (ad esempio, una Wi-Fi pubblica non sicura) può intercettare le informazioni in chiaro, modificarle o addirittura dirottare il traffico, con conseguenze potenzialmente devastanti. Tra i dati che possono essere esposti ci sono domini dei siti visitati, identificativi dei dispositivi, informazioni sul sistema operativo e statistiche di utilizzo.

D’altra parte, la codifica di chiavi API e segreti all’interno delle estensioni offre agli attaccanti un’opportunità per sfruttare i servizi di terze parti collegati. Con l’accesso a queste chiavi, i criminali possono falsificare metriche, simulare transazioni fraudolente, pubblicare contenuti illeciti o persino aumentare i costi operativi per gli sviluppatori dei servizi coinvolti. Questo dimostra come anche poche righe di codice mal configurate possano compromettere un intero servizio o esporre gli utenti a rischi inattesi.

Le minacce delle estensioni nel 2025: un panorama in evoluzione

Nel 2025, il panorama delle minacce legate alle estensioni dei browser continua a evolversi. Con la crescente complessità dei browser e l’integrazione di nuove API, le vulnerabilità possono emergere in modi imprevisti. Si registra un aumento degli attacchi di tipo “supply chain”, dove i criminali prendono di mira gli sviluppatori di estensioni o le librerie di terze parti utilizzate, per iniettare codice malevolo prima ancora che l’estensione venga pubblicata.

Un’altra tendenza preoccupante è l’uso di tecniche di offuscamento e polimorfismo per nascondere il codice malevolo all’interno delle estensioni, rendendone più difficile il rilevamento da parte degli strumenti di sicurezza e delle revisioni manuali. Inoltre, l’espansione dell’intelligenza artificiale e del machine learning nel campo della cybersecurity è una spada a doppio taglio: se da un lato gli strumenti di sicurezza basati su AI diventano più efficaci nel rilevare anomalie, dall’altro lato i cybercriminali utilizzano l’AI per generare codice malevolo più sofisticato e evadere i controlli.

La consapevolezza degli utenti è fondamentale: anche estensioni molto popolari o di marchi apparentemente affidabili possono presentare falle. La protezione dei dati non dipende solo dalla popolarità dell’estensione, ma dalla rigorosità con cui gli sviluppatori implementano i principi di sicurezza e dalla natura delle informazioni che vengono trasmesse e memorizzate.

Consigli per evitare il problema e i rimedi per non farsi fregare

Per proteggere la propria navigazione e i dati sensibili, è cruciale adottare un approccio proattivo nella gestione delle estensioni del browser.

Come evitare il problema:

  1. Installare solo estensioni strettamente necessarie: Meno estensioni si hanno, meno sono i potenziali punti deboli. Ogni estensione è un pezzo di software che può avere vulnerabilità.
  2. Verificare le autorizzazioni richieste: Prima di installare un’estensione, leggi attentamente le autorizzazioni che richiede. Se un’estensione per il meteo chiede di accedere alla cronologia di navigazione o ai tuoi dati su tutti i siti web, è un campanello d’allarme.
  3. Controllare le recensioni e la reputazione dello sviluppatore: Consulta le recensioni degli utenti e cerca informazioni sullo sviluppatore. Estensioni con poche recensioni o recensioni sospette dovrebbero essere evitate.
  4. Dare la preferenza a estensioni open-source o di brand noti: Le estensioni open-source permettono alla comunità di ispezionare il codice, mentre i brand noti hanno spesso maggiori risorse per la sicurezza.
  5. Mantenere il browser e le estensioni aggiornate: Gli aggiornamenti includono spesso patch di sicurezza per vulnerabilità note. Abilita gli aggiornamenti automatici per il browser e controlla regolarmente le estensioni.
  6. Utilizzare un buon antivirus/antimalware: Un software di sicurezza aggiornato può aiutare a rilevare estensioni malevole o attività sospette.
  7. Fare attenzione alle estensioni “gratuite” che promettono troppo: Se un’estensione promette funzionalità incredibili gratuitamente, potrebbe esserci un costo nascosto, come la raccolta dei tuoi dati.

Estensioni coinvolte e la spiegazione collegata (vulnerabilità rilevate):

  • SEMRush Rank e PI Rank:
    • Problema: Trasmissione dati (indirizzi visitati) tramite HTTP non protetto (rank.trellian[.]com).
    • Spiegazione: I dati inviati in HTTP sono in chiaro, quindi un aggressore sulla stessa rete può intercettarli e visualizzare quali siti stai visitando, compromettendo la tua privacy di navigazione.
  • Browsec VPN:
    • Problema: Invio di richiesta di disinstallazione tramite HTTP non protetto (browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com).
    • Spiegazione: Anche un’azione apparentemente innocua come la disinstallazione può esporre informazioni (come l’identificativo dell’estensione e del dispositivo) se la comunicazione non è crittografata.
  • MSN Nuova scheda, MSN Homepage, Bing Search e News:
    • Problema: Trasmettono identificatori univoci del dispositivo a g.ceipmsn[.]com tramite HTTP.
    • Spiegazione: L’invio di identificatori univoci permette di tracciare l’utente anche dopo aver rimosso l’estensione o cambiato impostazioni, se l’identificatore è collegato al dispositivo e non all’installazione.
  • DualSafe Password Manager:
    • Problema: Trasferimento di statistiche di utilizzo, versione dell’estensione e lingua del browser a stats.itopupdate[.]com tramite HTTP.
    • Spiegazione: Anche se non sono password, la trasmissione non protetta di metadati da un gestore password mina la fiducia complessiva nel servizio e potrebbe essere usata per identificare utenti o versioni vulnerabili.
  • AVG Online Security, Speed Dial [FVD], SellerSprite:
    • Problema: Contengono un segreto hard-coded di Google Analytics 4 (GA4).
    • Spiegazione: Chiavi API incorporate nel codice sono accessibili a chiunque analizzi l’estensione. Questo permette ad un aggressore di falsificare dati analitici, inquinando le statistiche degli sviluppatori o lanciando attacchi di tipo DoS (Denial of Service) attraverso chiamate API abusive.
  • Equatio:
    • Problema: Contiene la chiave Microsoft Azure per il riconoscimento vocale.
    • Spiegazione: L’accesso a questa chiave permetterebbe a un aggressore di utilizzare i servizi di riconoscimento vocale a carico dello sviluppatore o di manipolare i dati processati.
  • Awesome Screen Recorder e Scrolling Screenshot Tool:
    • Problema: Chiave sviluppatore AWS per caricare screenshot su storage S3.
    • Spiegazione: Un aggressore potrebbe abusare di questa chiave per caricare contenuti illegali o dannosi sullo spazio di archiviazione S3 dello sviluppatore, o per consumare crediti cloud.
  • Microsoft Editor:
    • Problema: Utilizza una chiave di telemetria StatsApiKey per raccogliere analisi.
    • Spiegazione: Simile alle chiavi GA4, un accesso non autorizzato potrebbe permettere di falsificare dati di telemetria o sfruttare il servizio.
  • Antidote Connector:
    • Problema: Utilizza una libreria di terze parti (InboxSDK) con chiavi API codificate.
    • Spiegazione: La vulnerabilità in una libreria di terze parti può estendersi a tutte le estensioni che la utilizzano (oltre 90 in questo caso), creando un rischio a catena per moltissimi utenti.
  • Watch2Gether, Trust Wallet, TravelArrow:
    • Problema: Contengono chiavi pubbliche per API di servizi specifici (Tenor, Ramp Network, ip-api).
    • Spiegazione: Anche le chiavi pubbliche possono essere abusate per lanciare richieste API non autorizzate, simulare transazioni di criptovaluta (nel caso di Trust Wallet e Ramp Network) o per abusare di servizi di geolocalizzazione (ip-api), con conseguenze per l’integrità dei dati o per i costi degli sviluppatori.

Rimedi possibili se ci siete caduti:

  1. Cancellazione Immediata: Se possiedi una delle estensioni sopra elencate (o qualsiasi altra di cui dubiti la sicurezza), rimuovila immediatamente dal tuo browser. Vai nelle impostazioni del tuo browser (es. per Chrome: chrome://extensions/), individua l’estensione e clicca su “Rimuovi” o “Elimina”.
  2. Scansione del sistema: Dopo la rimozione, esegui una scansione completa del tuo sistema con un software antivirus/antimalware affidabile per assicurarti che non ci siano infezioni persistenti o malware scaricati dalle estensioni.
  3. Cambiare le password: Se hai utilizzato un gestore password compromesso (come DualSafe Password Manager) o se pensi che la tua navigazione sia stata monitorata, cambia le password di tutti gli account importanti (email, banking, social media, ecc.).
  4. Monitorare l’attività del conto: Controlla regolarmente gli estratti conto bancari e delle carte di credito per individuare eventuali transazioni non autorizzate.
  5. Valutare il reset del browser: In casi di grave compromissione, potresti considerare di ripristinare le impostazioni predefinite del browser o reinstallarlo completamente per eliminare ogni traccia residua.

#checkblacklist #EstensioniChrome #Cybersecurity #PrivacyOnline

Claudio R Cerroni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *