Un ricercatore di cybersicurezza di Secure Annex ha recentemente individuato oltre 30 estensioni browser non elencate, potenzialmente pericolose per più di quattro milioni di utenti.
In un’analisi dettagliata, il ricercatore John Tuckner ha spiegato che, in alcuni casi, gli sviluppatori software scelgono di rimuovere le proprie estensioni dagli elenchi pubblici quando queste non funzionano correttamente. Tuttavia, ha anche evidenziato un rischio ben più grave: alcuni attori malevoli potrebbero sfruttare la rimozione volontaria per rendere più difficile l’individuazione da parte dei team di sicurezza.
Una volta non elencate, infatti, queste estensioni diventano molto meno visibili: non compaiono nei risultati dei motori di ricerca né nelle directory pubbliche degli store, rendendo più complesso rilevarle e rimuoverle.
Segnalazione di comportamenti dannosi
Un ricercatore di sicurezza informatica di Secure Annex ha recentemente scoperto più di 30 estensioni del browser non elencate che hanno esposto oltre quattro milioni di utenti a potenziali rischi per la sicurezza.
In un’analisi dettagliata, il ricercatore John Tuckner ha spiegato che alcuni sviluppatori possono rendere non elencate le proprie estensioni quando queste non funzionano correttamente. Tuttavia, ha anche suggerito che attori malevoli potrebbero utilizzare questa tecnica per rendere più difficile per i team di sicurezza rilevare e segnalare le estensioni. Questi strumenti nascosti, infatti, non sono facilmente individuabili tramite i motori di ricerca o i cataloghi pubblici.
“Molte aziende distribuiscono il loro software attraverso estensioni non elencate perché questo rende più difficile per un utente comune trovare l’estensione e poi scontrarsi con il fatto che non è funzionante,” ha dichiarato. “È anche noto come metodo per indurre gli utenti a installare un’estensione malevola, rendendola molto più difficile da rilevare per i team di sicurezza.”
Alcune delle estensioni individuate da Tuckner, come “Fire Shield Extension Protection”, richiedono permessi estremamente ampi. Questi includono l’accesso al traffico web degli utenti, ai cookie memorizzati e persino alle schede del browser, aprendo la porta a potenziali abusi di dati sensibili.
“Quando viene richiesta l’API di gestione, vengono richiesti anche molti altri permessi che permettono di interagire con il traffico web su tutti gli URL, accedere allo storage dei cookie, gestire le schede del browser ed eseguire script,” ha spiegato Tuckner.
L’analisi di Secure Annex ha segnalato queste estensioni per comportamenti potenzialmente malevoli, come l’accesso ai cookie memorizzati o la presenza di firme riconducibili a malware noti. Il ricercatore consiglia agli utenti di rimuovere queste estensioni non elencate, poiché la loro natura nascosta e il livello eccessivo di accesso rappresentano vulnerabilità evitabili.
Fortunatamente, Tuckner non ha rilevato estensioni che rubano credenziali di accesso o informazioni di pagamento. Tuttavia, ha sottolineato che un tale livello di offuscamento in un software controllabile da remoto potrebbe renderlo adatto a comportamenti da infostealer. “Questo è, in ultima analisi, il problema e la minaccia che queste estensioni rappresentano quando possono essere controllate da remoto.”
Via Ars Technica