Las extensiones de Chrome con 33 millones de descargas extrajeron datos confidenciales del usuario

Las extensiones de Chrome con 33 millones de descargas extrajeron datos confidenciales del usuario

Las extensiones de navegador descargadas casi 33 millones de veces desde Chrome Web Store de Google descargaron secretamente información de usuario altamente confidencial, dijo el jueves una empresa de seguridad en un informe que subraya medidas de seguridad laxas que continúan poniendo en riesgo a los usuarios de Internet.

Las extensiones, que Google eliminó solo después de recibir una notificación privada de ellas, desviaron activamente datos como capturas de pantalla, contenidos en portapapeles del dispositivo, cookies del navegador utilizadas para iniciar sesión en sitios web y pulsaciones de teclas como contraseñas, me dijeron investigadores de la firma de seguridad Awake. Muchas de las extensiones eran modulares, lo que significa que una vez instaladas, se actualizaban con archivos ejecutables, que en muchos casos eran específicos del sistema operativo en el que se ejecutaban. Awake proporcionó detalles adicionales en Este reporte.

Los investigadores de la compañía descubrieron que las 111 extensiones identificadas como maliciosas conectadas a dominios de Internet se registraron a través de GalComm, con sede en Israel. Los investigadores finalmente encontraron que más de 15,000 registrados a través de GalComm alojan comportamientos maliciosos o sospechosos. Los dominios maliciosos utilizaron una variedad de técnicas de evasión para evitar ser etiquetados como maliciosos por los productos de seguridad.

Awake analizó más de 100 redes en servicios financieros, petróleo y gas, medios y entretenimiento, atención médica y farmacéutica, venta minorista y otras tres industrias. Awake descubrió que los actores detrás de las actividades habían establecido un punto de apoyo persistente en casi todos esos campos. El uso de los atacantes de Google y un registro de dominio acreditado por el Corporación de Internet para nombres y números asignados—Y la capacidad de evadir la detección por parte de las empresas de seguridad — subraya el frecuente fracaso de las empresas tecnológicas en la protección de la seguridad de Internet.

“La confianza en Internet y su infraestructura es crítica”, escribió Awake en un resumen de sus hallazgos. “La explotación de los componentes clave de esta infraestructura (registro de dominio, navegadores, etc.) sacude los cimientos de la confianza y representa un riesgo tanto para las organizaciones como para los consumidores. La investigación muestra tres áreas críticas de fragilidad con Internet que se están explotando para vigilar pasivamente a los usuarios de forma pasiva “.

Se siente como la primera vez … ¡NO!

Los hallazgos de Awake no son el primer informe de extensiones de navegador alojadas en servidores de Google que se usan maliciosamente contra usuarios de Chrome. En un artículo exclusivo publicado en julio pasado, Ars informó sobre las extensiones, en su mayoría alojadas por Google, que recopilaron los historiales de navegación de 4,1 millones de usuarios y los publicaron abiertamente en un sitio de análisis de pago. Los datos incluían datos de propiedad de Tesla, el origen azul de Jeff Bezos y docenas de otras compañías. Con los años, ha habido docenas de otros descubrimientos de extensiones maliciosas de Chrome, y una de las más recientes ocurrió en febrero.

En un comunicado, los funcionarios de Google el jueves escribieron:

Apreciamos el trabajo de la comunidad de investigación, y cuando recibimos alertas de extensiones en la Tienda Web que violan nuestras políticas, tomamos medidas y utilizamos esos incidentes como material de capacitación para mejorar nuestros análisis automáticos y manuales. Hacemos barridos regulares para encontrar extensiones usando técnicas, códigos y comportamientos similares, y eliminamos esas extensiones si violan nuestras políticas.

Todas las extensiones pasan por un proceso de revisión automatizado, y la mayoría también se somete a revisiones manuales por parte de nuestro equipo. Utilizamos una combinación de revisión automática y manual, basada en una variedad de señales para una extensión particular. Puedes ver nuestras políticas completas del programa aquí.

Chrome Web Store utiliza varios métodos para detectar infracciones de políticas y aplicarlas, incluidas las revisiones manuales y automatizadas, tanto de forma proactiva como receptiva. La acción de cumplimiento puede incluir la eliminación de Chrome Web Store o la finalización de la cuenta de desarrollador. Además de deshabilitar las cuentas de los desarrolladores que violan nuestras políticas, también marcamos ciertos patrones maliciosos que detectamos para evitar que vuelvan las extensiones. Además, hemos anunciado cambios técnicos que aumentarán aún más fortalecer la privacidad de las extensiones de Chrome y nuevas políticas que mejorar la privacidad del usuario.

Los funcionarios de GalComm no respondieron a un correo electrónico en busca de comentarios para esta publicación.

Las extensiones se hacen pasar por lectores de documentos, como las siguientes:

Las extensiones de Chrome con 33 millones de descargas extrajeron datos confidenciales del usuario

Despierto

Otros pretendieron proporcionar mejoras de seguridad:

Las extensiones de Chrome con 33 millones de descargas extrajeron datos confidenciales del usuario

Despierto

Pocos de ellos proporcionaron las capacidades que reclamaban. Puede encontrar una lista completa de las extensiones encontradas por Awake en esta hoja de cálculo de Excel. (Aquellos que no confían en abrir una hoja de cálculo de Excel pueden subirla a Google Docs y leerla allí. Una alternativa es leer una lista en el informe vinculado anteriormente, pero solo enumera el ID de la extensión y no el nombre).

Si bien los 33 millones de instalaciones pueden estar inflados con descargas artificiales, Awake dijo que cree que la cantidad de dispositivos infectados en esta campaña probablemente sea cercana a esa cantidad. Debido a que el número se basa en extensiones que estaban en Chrome Web Store a principios de mayo, es probable que omita las extensiones que estaban disponibles antes y luego se eliminaron. El número tampoco cuenta las extensiones que estaban disponibles desde canales fuera de Chrome Web Store.

Los dominios maliciosos que Awake identificó son aquí.

Si bien Google escanea las extensiones antes de publicarlas en Chrome Web Store y las elimina cuando descubre que su proceso ha fallado, el proceso falla regularmente, a menudo en detrimento de millones de usuarios. Por lo general, la compañía proporciona poca notificación a los usuarios de Chrome cuya privacidad o seguridad se ha visto comprometida.

El resultado es que los usuarios de cualquier navegador deben instalar extensiones con moderación y solo cuando proporcionan un valor real. Cuando instales uno, intenta elegir uno de un desarrollador conocido o al menos uno con un sitio web o un controlador de redes sociales que puedas investigar. No olvide leer los comentarios de informes de comportamiento sospechoso.

Las personas también deben revisar periódicamente su página de extensiones para verificar si hay notificaciones que se han eliminado o que violan los términos de servicio del fabricante del navegador. Mientras esté allí, elimine las extensiones que no se hayan utilizado durante un tiempo o que ya no sean necesarias.

Related Stories