Le estensioni sono componenti software che permettono di ampliare le funzionalità di base del browser web. Alcune di esse, però, “richiedono carta bianca” e inducono l’utente ad accettare l’utilizzo di permessi davvero a largo spettro.
Le estensioni Chrome sono, negli ultimi tempi, sempre più croce e meno delizia. Si sono infatti susseguiti diversi casi in cui popolari estensioni per Chrome sono state attaccate: il loro codice binario pubblicato sul Chrome Web Store di Google è stato infatti modificato e sono state diffuse online versioni pericolose delle estensioni.
Sfruttando il fatto che, di default, Google Chrome aggiorna automaticamente le estensioni installate ogniqualvolta venga rilevata una nuova versione, i criminali informatici hanno potuto raggiungere una vasta schiera di utenti e disporre l’applicazione delle estensioni malevole.
Di recente è accaduto a Copyfish (L’estensione Copyfish è stata attaccata: attenzione al malware) e all’estensione Web Developer mentre Particle for YouTube è stata venduta a un nuovo sviluppatore che l’ha subito trasformata in un fastidiosissimo adware.
Gli sviluppatori di estensioni per Google Chrome stanno ricevendo in continuazione offerte di acquisto delle loro “creature”: la possibilità di mettere le mani, senza fatica, sui sistemi di milioni di utenti, fa gola a molti.
Le estensioni per Chrome che possono rivelarsi più problematiche, alla lunga, sono quelle che usano l’autorizzazione Leggere e modificare tutti i dati sui siti web visitati: ciò significa che le estensioni sono potenzialmente in grado di monitorare tutte le attività dell’utente con il browser ed estrarre informazioni strettamente personali.
In passato avevamo parlato anche di casi clamorosi come quello di WOT (Web of Trust), un’estensione che da un lato veniva presentata come paladina della privacy ma sotto sotto monitorava le sessioni di navigazione, organizzava i dati raccolti sul cloud e li vendeva a terzi (Estensioni browser irrispettose della privacy: il caso WOT).
Estensioni Chrome: disinstallare quelle superflue e massima attenzione alle autorizzazioni concesse
Dal momento che, ultimamente, il quadro si sta facendo più complesso, suggeriamo di alzare il livello di attenzione e verificare immediatamente – digitando chrome://extensions
nella barra degli indirizzi di Chrome – quante e quali estensioni si stanno adoperando.
Come regola generale, innanzi tutto, è bene usare il minor numero di estensioni possibile.
Inoltre, è importante limitarsi a installare le estensioni delle sole società sviluppatrici in cui si ripone fiducia. Saranno così inferiori le chance che l’estensione possa essere venduta a terzi e trasformata in adware/malware oppure che gli sviluppatori gestiscano le loro credenziali con superficialità.
Cliccando su Dettagli, nella finestra chrome://extensions
di Chrome, è fondamentale controllare quali autorizzazioni ciascuna estensione utilizza.
È sempre bene limitare l’utilizzo di quelle estensioni che usano un permesso come Leggere e modificare tutti i dati sui siti web visitati: implica la possibilità, per l’estensione, di “monitorare” – potenzialmente – qualunque dato dell’utente.
Per le estensioni “irrinunciabili” che usano il permesso Leggere e modificare tutti i dati sui siti web visitati, può essere opportuno disattivarle temporaneamente quando non servono togliendo il segno di spunta dalla casella Attiva.