Bloqueadores de anuncios populares de Chromium atrapados robando datos de usuarios y accediendo a cuentas

Bloqueadores de anuncios populares de Chromium atrapados robando datos de usuarios y accediendo a cuentas

imágenes falsas

Las extensiones de bloqueo de anuncios con más de 300.000 usuarios activos han estado cargando subrepticiamente datos de navegación de los usuarios y manipulando las cuentas de redes sociales de los usuarios gracias al malware que introdujo su nuevo propietario hace unas semanas, según análisis técnicos y publicaciones en Github.

Bloqueadores de anuncios populares de Chromium atrapados robando datos de usuarios y accediendo a cuentas

Hugo Xu, desarrollador de las extensiones Nano Adblocker y Nano Defender, dijo hace 17 días que ya no tenía tiempo para mantener el proyecto y había vendido los derechos de las versiones disponibles en Chrome Web Store de Google. Xu me dijo que Nano Adblocker y Nano Defender, que a menudo se instalan juntos, tienen alrededor de 300,000 instalaciones en total.

Hace cuatro días, Raymond Hill, creador de la extensión uBlock Origin en la que se basa Nano Adblocker, reveló que los nuevos desarrolladores habían implementado actualizaciones que añadido código malicioso.

Lo primero que Hill notó que estaba haciendo la nueva extensión fue verificar si el usuario había abierto la consola del desarrollador. Si se abrió, la extensión envió un archivo titulado “informe” a un servidor en https://def.dev-nano.com/. “En palabras simples, la extensión verifica de forma remota si está utilizando las herramientas de desarrollo de extensiones, que es lo que haría si quisiera averiguar qué está haciendo la extensión”, escribió.

El cambio más obvio que notaron los usuarios finales fue que los navegadores infectados emitían automáticamente me gusta para un gran número de publicaciones de Instagram, sin la participación de los usuarios. Un usuario con el que hablé dijo que a su navegador le gustaban más de 200 imágenes de una cuenta de Instagram que no seguía a nadie. La captura de pantalla de la derecha muestra algunas de las fotos involucradas.

Mucha gente en este foro informó que sus navegadores infectados también estaban accediendo a cuentas de usuario que aún no estaban abiertas en sus navegadores. Esto ha llevado a especular que las extensiones actualizadas acceden a las cookies de autenticación y las utilizan para obtener acceso a las cuentas de los usuarios. Hill dijo que revisó parte del código agregado y descubrió que estaba cargando datos.

“Dado que el código agregado fue capaz de recopilar encabezados de solicitud en tiempo real (a través de la conexión websocket, supongo), esto significa que se podría filtrar información confidencial como las cookies de sesión”, escribió en un mensaje. “No soy un experto en malware, así que no puedo encontrar * todo * lo que es posible cuando tengo acceso en tiempo real a los encabezados de solicitud, pero entiendo que es realmente malo”.

Otros usuarios informaron que también se estaba accediendo y manipulando sitios distintos de Instagram, en algunos casos, incluso cuando el usuario no había accedido al sitio, pero estas afirmaciones no se pudieron verificar de inmediato.

Alexei, un tecnólogo senior de Electronic Frontier Foundation que trabaja en la extensión Privacy Badger, ha estado siguiendo las discusiones y me proporcionó la siguiente sinopsis:

La esencia es que las extensiones Nano se actualizaron para cargar subrepticiamente sus datos de navegación de una manera configurable de forma remota. Configurable de forma remota significa que no era necesario actualizar las extensiones para modificar la lista de sitios web cuyos datos serían robados. De hecho, la lista de sitios web se desconoce en este momento, ya que se configuró de forma remota. Sin embargo, hay muchos informes de que las cuentas de Instagram de los usuarios se han visto afectadas.

La evidencia recopilada hasta la fecha muestra que las extensiones están cargando de manera encubierta datos del usuario y obteniendo acceso no autorizado a al menos un sitio web, en violación de los términos de servicio de Google y muy posiblemente de las leyes aplicables. Google ya eliminó las extensiones de Chrome Web Store y emitió una advertencia de que no son seguras. Cualquiera que tenga alguna de estas extensiones instaladas debe eliminarlas de sus máquinas inmediatamente.

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí