Pesquisa revela que extensões do Chrome são usadas para fraude e roubo de dados

Por Redação | 20 de Agosto de 2014 às 13h18

Um dos recursos mais atraentes do Google Chrome é sua enorme quantidade de extensões que agregam inúmeras outras funções ao navegador. Contudo, um estudo recente feito pelos pesquisadores Neha Chachra, Christopher Kruegel, Chris Grier, Giovanni Vigna e Vern Paxson, todos especialistas em segurança, indica que uma grande quantidade delas é usada para fraude e roubo de dados e que tais ações são feitas sem que o usuário perceba.

Segundo os pesquisadores, o trabalho tem por objetivo apresentar o cenário de problemas de segurança no contexto das extensões de navegadores na medida em que cada vez mais cibercriminosos se aproveitam dos dados armazenados pelos browsers para lucrar às custas dos usuários desavisados.

O estudo foi feito analisando cerca de 48 mil extensões do Chrome. Deste total, os pesquisadores afirmam que 130 delas são comprovadamente maliciosas e outras 4.712 são suspeitas de envolvimento em uma grande variedade de fraudes. Entre as atividades ilícitas executadas pelas costas dos usuários estão o roubo de credenciais, fraude em publicidade online e abuso de redes sociais. O pior de tudo é que algumas das extensões são bastante populares e possuem milhões de downloads.

Segundo Alexandros Kapravelos, candidato a doutorado na Universidade da Califórnia em Santa Bárbara, Estados Unidos, o código malicioso é ativado quando a vítima acessa sites específicos. "Ao instalar uma extensão você não vai perceber o comportamento criminoso, mas assim que visitar certas páginas específicas na web, ela vai ativar o código malicioso", disse em entrevista ao IDG Now.

Medidas do Google vêm fechando o cerco

Segundo os pesquisadores, o grande problema das extensões é que, por adicionarem muitas funcionalidades extras ao navegador, elas acabam ganhando muito poder. Desavisadas, as vítimas acabam aceitando as permissões de acessos exigidas por todas elas sem nem saberem do que se trata e isso acaba abrindo brechas de segurança perigosas. A partir daí, os cibercriminosos começam a, por exemplo, interceptar requisições HTTP do navegador, modificar seus cabeçalhos e injetar códigos JavaScript maliciosos nas páginas da web.

Grier, no entanto, destaca que o Google tem implementado cada vez mais mudanças nas políticas de publicação de extensões na Chrome Web Store e que isso vem fortalecendo o controle da empresa sobre elas. Mesmo assim, o pesquisador de segurança da Universidade da Califórnia em Berkeley diz que as medidas não impedem que extensões "do mal" acabem entrando na loja virtual ou sendo instaladas nos computadores das vítimas mesmo com a verificação prévia do Google.

Fraudes são dos mais diversos tipos

Para constatar a forma que as extensões malignas atuam, os pesquisadores desenvolveram um sistema chamado "Hulk" e páginas chamadas "HoneyPages". Com essas ferramentas, os especilistas conseguiram fazer com que a "natureza maliciosa" das extensões aparecesse e puderam acompanhar de perto como elas se comportam.

Um dos casos mais emblemáticos, segundo eles, foi o de uma extensão chinesa que possuia mais de 5,5 milhões de downloads. Ela usa um beacon de rastreamento que relata todos os passos de navegação do usuário a um servidor remoto. Para piorar o caso, nenhuma requisição é protegida com criptografia Secure Sockets Layer (SSL).

Embora a ação não configure crime, Grier destaca que pode por inúmeros usuários em perigo. "O conteúdo não está mais criptografado e não há garantias de confidencialidade. Até mesmo para os usuários fora da China, é grande o risco de ter toda requisição HTTP para um servidor remoto perdida", disse o especialista.

Outro exemplo de comportamento de risco foi identificado em várias extensões que mudam ou adicionam parâmetros dentro de endereços URL de sites de e-commerce. De acordo com os pesquisadores, os cibercriminosos fazem isso para fraudar o que é conhecido por vendas afiliadas. É o caso da Amazon, por exemplo, que paga uma pequena quantia em dinheiro a sites afiliados que levam consumidores ao seu site através de cliques em banners.

Modificando a URL que leva o usuário ao site da Amazon, os cibercriminosos conseguem fazer com que o clique seja identificado para outro afiliado, este sem ser legítimo e geralmente associado ao submundo virtual. Dessa forma, eles conseguem gerar dezenas de milhares de dólares todos os dias de maneira ilegal.

A pesquisa acendeu o alerta vermelho não apenas no Google, mas também nos usuários mais preocupados com privacidade e segurança online. Mesmo assim, seus detalhes e meandros ainda não foram revelados. A expectativa é que Chachra, Gruegel, Grier, Vigna e Paxson a apresentem nesta quinta-feira (21) no Usenix Security Symposium, um evento dedicado a profissionais de segurança digital que ocorre esta semana em São Diego, Califórnia (EUA).

Leia também: Conheça 10 recursos do Google que você sequer sabia que existiam

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.