Le estensioni per il browser sono componenti aggiuntivi che permettono di arricchire il software utilizzato per navigare sul Web con funzionalità non previste dallo sviluppatore.
Come abbiamo ricordato spesso, è fondamentale evitare l’installazione di estensioni realizzate da sviluppatori poco noti e potenzialmente inaffidabili; inoltre, è bene bloccare le estensioni troppo affamate di dati che cioè richiedono un ventaglio di permessi troppo ampio.
È capitato più volte che estensioni per Chrome in precedenza assolutamente benigne siano state vendute a soggetti terzi. Non sempre chi le acquista agisce in modo corretto e trasparente: alcune estensioni Chrome sono diventate pericolose all’improvviso e con la distribuzione delle versioni più aggiornate hanno iniziato a spiare gli utenti e sottrarre dati personali.
Rubare i dati dell’utente con un’estensione per Chrome è pericolosamente facile
Iniziamo col dire che Google sta spingendo sull’adozione del cosiddetto Manifest v3, terza versione della specifica del manifesto delle estensioni di Chrome. Il file Manifest è un oggetto JSON che definisce le funzionalità, i permessi e il comportamento dell’estensione all’interno del browser.
La versione 3 di Manifest introduce importanti cambiamenti nella gestione delle estensioni, tra cui la rimozione di alcune funzionalità e l’introduzione di nuove API per la gestione delle richieste di rete e delle politiche di sicurezza.
Manifest v3 ha suscitato alcune preoccupazioni da parte degli sviluppatori di estensioni, in quanto i cambiamenti introdotti da Google potrebbero limitare la loro capacità di creare estensioni complesse e potrebbero limitare l’accesso alle risorse del browser. Dal canto suo, Google ha dichiarato che la nuova versione del manifesto è stata progettata per migliorare la sicurezza e la privacy degli utenti oltre che per ridurre il consumo di risorse.
Al momento l’obbligo in capo agli sviluppatori di estensioni di migrare al Manifest v3 è stato ulteriormente posticipato.
L’ingegnere software Matt Frisbie ha voluto dimostrare quali e quante informazioni può rubare un’estensione malevola installata su Chrome a dispetto delle limitazioni introdotte con il Manifest v3.
Come spiega Frisbie nella sua dettagliata analisi, un’estensione dannosa sviluppata per bersagliare gli utenti di Chrome è in grado di rubare tutti i cookie insieme con il loro contenuto, l’intera cronologia di navigazione, tracciare l’attività di navigazione dell’utente in tempo reale, catturare silenziosamente uno screenshot con tutto ciò che l’utente sta guardando, registrare i tasti premuti come un keylogger, monitorare tutto il traffico dati da e verso qualunque scheda del browser, impostare degli event listener, catturare i dati contenuti nell’area degli appunti, le informazioni di geolocalizzazione, i dati conservati nelle schede al momento “dormienti” e altro ancora.
È vero che un’estensione per Chrome deve dichiarare tutti i permessi che intende utilizzare nel momento in cui essa viene installata e avviata per la prima volta. Tuttavia, inserendo nel file Manifest tutte le possibili autorizzazioni, il browser di Google si limita a mostrare i primi cinque permessi della lista. Per visualizzare quelli aggiuntivi, l’utente dovrebbe scorrere l’elenco fino in fondo.
L’ingegnere osserva che “più della metà dei messaggi di avviso non viene nemmeno visualizzata. Scommetto che la maggior parte degli utenti non ci penserebbe due volte prima di installare un’estensione che sembra richiedere solo 5 autorizzazioni“.