Milhares de extensões do Chrome autorizadas a recolher os dados pessoais dos utilizadores

As extensões, nomeadamente do Chrome, são um valioso complemento à sua utilização diária. Agora, um novo estudo concluiu que o navegador da Google reúne milhares de extensões autorizadas a extrair os dados pessoais dos utilizadores.

As extensões extrapolam as capacidades dos navegadores web, adicionando novas funcionalidades, modificando o conteúdo da página ou automatizando tarefas. Isto, sempre numa perspetiva de melhorar a experiência do utilizador.

Temos as que gerem dados de início de sessão, as que servem como ferramentas de produtividade, as que reveem e corrigem os textos apresentados nas páginas, as que ajudam a bloquear anúncios, entre muitas outras.

Business team putting together jigsaw puzzle isolated flat vector illustration. Cartoon partners working in connection. Teamwork, partnership and cooperation concept

As extensões são valiosas, pois conseguem manipular o conteúdo das páginas, por forma a responder à necessidade dos utilizadores. Por isso, a Google incorporou, no Chrome, vários regulamentos para evitar que agentes maliciosos explorassem estas funcionalidades e recolhessem dados privados.

Contudo, investigadores da Universidade de Wisconsin-Madison, nos Estados Unidos da América, demonstraram que é possível contornar as medidas de proteção e extrair informações sensíveis utilizando alguns plug-ins.

Muitas têm acesso ilimitado à árvore do Modelo de Objeto de Documentos (em inglês, DOM) de um site. Isto é, à estrutura que define a forma como este é acedido e utilizado. Assim, conseguem ver as caixas de texto onde os utilizadores escrevem informações, como palavras-passe e números de cartões.

Investigadores desenvolveram a sua própria extensão maliciosa

De modo a corroborar as suas conclusões, a equipa de investigadores desenvolveu a sua própria extensão maliciosa e adicionou-a à Chrome Web Store.

Apresentou-a como um assistente baseado em GPT com funções semelhantes às do ChatGPT nos sites, e pediu permissão para ser executada em todas as páginas. Segundo revelado pela equipa, a extensão passou o processo de verificação da loja sem qualquer problema.

Os investigadores descobriram que mais de mil dos mais populares sites do mundo, incluindo alguns portais da Google e da Cloudflare, armazenam palavras-passe em texto simples no código-fonte HTML das suas páginas. Além disso, concluíram que outros 7.300 são vulneráveis ao acesso DOM.

Devido ao modelo de permissões grosseira dos navegadores, há uma falta de limite de segurança entre o plug-in e a página.

Esta falta de limite permite que o plug-in interaja e manipule livremente os elementos HTML, dando acesso direto dos dados introduzidos pelo utilizador.

AdBlock Plus é uma das extensões apontadas pelos investigadores

Os investigadores descarregaram todas as extensões disponíveis na Chrome Web Store e analisaram a funcionalidade e as permissões solicitadas por elas. Ao fazê-lo, descobriram que 12,5% do total têm as permissões necessárias para explorar vulnerabilidades.

Tratam-se de cerca de 17.000 extensões, algumas tão populares como o AdBlockPlus e o Honey, com mais de 10 milhões de utilizadores.

O problema é claro: se alguém com intenção maliciosa conseguir aceder ou manipular campos como caixas de texto, "pode roubar informações privadas do utilizador, fazer-se passar por ele ou mesmo cometer fraudes financeiras".