Miles de extensiones de Chrome cuentan con los permisos necesarios para extraer información confidencial. Un grupo de investigadores de la Universidad de Wisconsin-Madison, en Estados Unidos, asegura que 12,5 % de los complementos de la Chrome Web Store están habilitados para recopilar datos sensibles de los usuarios, como las contraseñas o números de tarjeta de crédito.
Las extensiones mejoran las capacidades de los navegadores web, al agregar nuevas funciones, modificar el contenido de las páginas o automatizar tareas para mejorar la experiencia de los usuarios. Algunas, por ejemplo, administran datos de acceso, sirven como herramientas de productividad o ayudan a bloquear anuncios.
Estas extensiones logran su cometido accediendo al contenido de las webs y manipulándolo. Google ha incorporado varias regulaciones para evitar que actores maliciosos exploten estas funcionalidades y recopilen datos privados. Sin embargo, los investigadores de la Universidad de Wisconsin demostraron que es posible eludir las medidas de protección y extraer información sensible usando algunos complementos.
El gran problema, explican los responsables del estudio, es que las extensiones todavía pueden revisar todo el contenido de las páginas de internet. Muchas tienen acceso ilimitado al árbol del Modelo de Objetos del Documento (DOM, en sus siglas en inglés) de un sitio, la estructura que define la forma en la que se accede y utiliza. De esta forma, pueden llegar hasta las cajas de texto donde los usuarios escriben sus contraseñas o números de tarjeta de crédito.
Crearon una extensión maliciosa y Chrome la aceptó
Para probar lo que decían, el grupo desarrolló su propia extensión maliciosa y la subieron a la Chrome Web Store para su proceso de revisión. Para disfrazar su complemento, lo presentaron como un asistente basado en GPT que ofrecía funciones similares a ChatGPT en las webs. Solicitaron permiso para ejecutarse en todas las páginas. La extensión pasó sin problemas el proceso de verificación en la tienda web de Google Chrome, explica el reporte del estudio.
El grupo de investigadores detectó que más de 1.000 de los sitios web más populares del mundo, incluidos algunos portales de Google y Cloudflare, almacenan contraseñas en texto sin formato dentro del código fuente HTML de sus páginas. Otros 7.300 sitios son vulnerables al acceso al DOM.
«Debido al modelo de permisos de grano grueso de los navegadores, existe una falta de límite de seguridad entre el complemento y la página web», dice el informe. Esta falta de límite permite al complemento interactuar y manipular libremente los elementos HTML. Esto permite la extracción directa de las entradas de los usuarios.
Una vez realizado el experimento, eliminaron inmediatamente la extensión de la tienda web. Siempre la mantuvieron en modo «no publicado» para que los usuarios no pudieran encontrarla e instalarla.
Miles de aplicaciones peligrosas
El grupo de la Universidad de Wisconsin también descargó todas las extensiones disponibles en la Chrome Web Store. Analizaron las funcionalidades y permisos que solicitaban estos complementos. De esta forma, descubrieron que 12,5 % del total tienen los permisos necesarios para explotar las vulnerabilidades descubiertas. Son cerca de 17 mil extensiones, algunas tan populares como AdBlockPlus y Honey, con más de 10 millones de usuarios.
Descubrieron, además, que 190 extensiones acceden directamente a los campos de contraseñas. Esto sugiere que ya algunos desarrolladores estarían intentando explotar la brecha de seguridad.
Si un atacante puede acceder o manipular campos como las cajas de texto, «pueden robar información privada del usuario, suplantar al usuario o cometer fraude financiero», remarca el informe. También alertan que la exposición de estos datos podría ser cosechada por scripts o bots automatizados que escanean webs en busca de vulnerabilidades como estas.