Non siamo mai stati amanti delle estensioni aggiunte nel browser dai software di terze parti. Riteniamo infatti che debba essere sempre l’utente a scegliere quali estensioni eventualmente abilitare nel browser preferito e, soprattutto, quelle di cui ha effettivamente bisogno.
Appare di fondamentale importanza eliminare le estensioni che non si utilizzano perché alcune di esse potrebbero contribuire a ridurre, e di molto, il livello di sicurezza offerto dal browser e, nel peggiore dei casi, azzerare diverse funzionalità di protezione.
Oltre a riporre la massima attenzione nella selezione delle estensioni da installare ed attivare nel browser (caricare eventualmente soltanto quelle che godono di un’ottima reputazione ed il cui funzionamento è ben noto), è bene verificare – quando si installa un nuovo software – che questo non aggiunga nuove estensioni ai browser presenti sul sistema.
Eliminare le estensioni dal browser, anche quelle degli antivirus
Nelle ultime settimane “la bomba” è stata fatta scoppiare da Tavis Ormandy, esperto di sicurezza già conosciuto alle “cronache” per aver scoperto, in passato, diverse pericolose vulnerabilità nei software sviluppati da terze parti.
Ormandy, in forze presso Project Zero, team di ricerca che fa parte di Google, ha nei giorni scorsi denunciato la presenza di una brutta lacuna di sicurezza in AVG Web TuneUp: Scoperta una vulnerabilità in AVG Web TuneUp.
Si tratta di un’estensione che AVG installa insieme con l’antivirus e che può aiutare l’utente nel riconoscere siti web potenzialmente dannosi.
Il problema, come spiegato da Ormandy, è che molte delle API utilizzate da AVG Web TuneUp contenevano importanti lacune di sicurezza capaci di esporre, ad esempio, l’intera cronologia delle pagine visitate con il browser a qualunque sito web “malevolo”.
Dopo i primi “appunti” di dicembre 2015 trasmessi ad AVG da Ormandy, lo scambio epistolare è proseguito con la scoperta di ulteriori problematiche sempre relativamente al codice dell’estensione Web TuneUp.
Ormandy ha poi scritto, nero su bianco, che Web TuneUp aggiunge numerose nuove API JavaScript al browser ampliando enormemente la superficie d’attacco. E se si pensa che l’estensione, stando ai dati rilasciati dalla stessa AVG, è utilizzata da 10 milioni di persone in tutto il mondo, i rischi sono tutt’altro che irrilevanti.
Certo, AVG ha poi risolto le problematiche di sicurezza evidenziate da Ormandy ma perché mantenere in uso un’estensione che, nel caso venissero scoperte ulteriori vulnerabilità, potrebbe essere sfruttata per sottrarre dati dell’utente (compreso il contenuto dei cookie)?
Ha fatto parlare di sé anche l’estensione Online Security di Avast, contenuta nella suite principale.
In particolare, una funzionalità contenuta nell’estensione pensata per facilitare gli acquisti online (anche mediante la visualizzazione di messaggi pubblicitari) chiamata SafePrice attivava un identificativo univoco per ogni singolo utente e trasmetteva l’URL di ciascuna pagina visitata ai server di Avast.
Ed a parte l’estensione SafePrice di Avast, è stato lo stesso Ormandy a ricordare come l’antivirus – con l’intento di offrire un livello di protezione in più per quanto riguarda i dati scambiati attraverso connessioni HTTPS – di fatto ponga in essere una sorta di attacco man-in-the-middle.
Quando si installa un nuovo software, insomma, è sempre bene controllare se venga stabilito un legame a doppio filo con il browser web, con il client di posta o con altre applicazioni.
Com’è noto, i prodotti antivirus spesso desiderano esaminare da vicino il traffico dati. Quando hanno a che fare con i dati scambiati attraverso connessioni HTTPS, però, non è possibile avviare alcun genere di investigazione. I dati che fluiscono tra client e server (e viceversa) usando connessi HTTPS, infatti, sono crittografati ed il canale di comunicazione è normalmente imperscrutabile (vedere, ad esempio, l’articolo Certificato di protezione del sito web: cosa fare quando c’è un problema).
Cosa fa Avast? Sostituisce il certificato originale della terza parte (il server che attiva la connessione HTTPS) con uno suo, preventivamente aggiunto alla lista di quelli presenti sulla macchina in uso.
Grazie a questo espediente, lo stesso che è stato utilizzato in occasione dell’affaire Superfish sui sistemi Lenovo (Lenovo assicura: basta adware e programmi inutili) e di cui si è parlato anche più di recente (Dell e il certificato root che solleva punti interrogativi), l’antivirus di Avast diventa in grado di esaminare anche i dati scambiati attraverso connessioni HTTPS.
Nel caso dei sistemi Windows, ricordiamo che i certificati installati sul proprio sistema possono essere controllati premendo la combinazione di tasti Windows+R
quindi digitando certmgr.msc
.
Il comportamento di Avast è stato ben analizzato sul blog di Malwarebytes, in questa pagina.
Come ulteriore esempio, citiamo anche i prodotti McAfee e Norton che mostrano un messaggio d’allerta sui sistemi Windows 10 dove, com’è noto il browser Microsoft Edge è configurato come predefinito.
McAfee e Norton suggeriscono di abbandonare Edge proprio per il fatto che il browser non può accogliere l’estensione installata da parte dell’antivirus (Edge non supporta ancora le estensioni) e, addirittura, consigliamo di ripristinare l’utilizzo di Internet Explorer.
Il consiglio, quindi, è quello anticipato ad inizio articolo: fare molta attenzione alle estensioni che s’installano nel browser e, durante l’installazione di un qualunque software, non fare mai clic sul pulsante Avanti senza leggere esattamente cosa si sta installando.
Quanto agli antivirus, suggeriamo di installare sempre le funzionalità core, senza appesantire il browser con estensioni addizionali.
Browser come Chrome e Firefox già integrano gli strumenti per proteggersi da pagine web malevole. A patto che, ed è questo un aspetto di fondamentale importanza, si mantengano sempre aggiornati non soltanto il browser (installando tempestivamente l’ultima versione disponibile non appena rilasciata) ma anche i plugin presenti.
Fortunatamente Chrome (ed a breve lo farà anche Firefox) ha scelto per un deciso “giro di vite” sui vecchi plugin NPAPI che nel caso del browser di Google non sono più supportati e nel caso di Firefox non lo saranno a breve.
Della differenza tra plugin NPAPI e PPAPI, usati da Chrome, avevamo parlato anche nell’articolo Flash Player è da scaricare oppure va disinstallato?.
Per gestire le estensioni eventualmente usate in Chrome, basta digitare chrome://extensions
nella barra degli indirizzi del browser quindi cliccare sull’icona raffigurante un cestino per rimuoverle.
In Firefox si può digitare about:addons
quindi fare clic sulla voce Estensioni nella colonna di sinistra.
Gli utenti di Internet Explorer, invece, possono cliccare sull’icona raffigurante un piccolo ingranaggio (in alto a destra) quindi scegliere Gestione componenti aggiuntivi.
Dopo aver selezionato Barre degli strumenti ed estensioni, si dovrà scegliere Tutti i componenti aggiuntivi dal menu a tendina Mostra.
Internet Explorer consente solo di disattivare le estensioni; per eliminarle completamente bisognerà fare riferimento alla finestra Programmi e funzionalità quindi rimuovere il programma che le ha aggiunte.