Ricevere un avviso quando un'estensione del browser potrebbe diventare malevola

Le estensioni consentono di aggiungere ulteriori nuove funzionalità al browser Web, a volte ampliandone le caratteristiche in maniera davvero significativa. Gli sviluppatori di estensioni ricevono continuamente offerte di acquisto da parte di altri soggetti: l’obiettivo dei compratori è quello di intercettare l’ampia base di utenti che alcune estensioni possono vantare.

Sono tanti i casi di estensioni vendute e improvvisamente diventate pericolose, perché il nuovo proprietario ha ad esempio deciso di aggiungere codice utile a “misurare” il comportamento degli utenti o, addirittura, funzionalità che simulano il comportamento di uno spyware.

L’ingegnere software Matt Frisbie aveva già mostrato, a febbraio 2023, che è possibile realizzare estensioni in grado di rubare tutti i dati degli utenti che le installano. E ciò anche a dispetto delle limitazioni introdotte da Google con il nuovo Manifest v3.

Manifest V3 è la versione più recente della specifica utilizzata per descrivere il funzionamento delle estensioni per i browser come Chrome. Con l’introduzione di Manifest V3, Google ha apportato diverse modifiche al modo in cui le estensioni possono interagire con il browser, con l’obiettivo di migliorare la sicurezza e le prestazioni delle estensioni.

Come ricevere un avviso quando un’estensione cambia proprietario

Oggi è lo stesso Frisbie a presentare un interessante progetto open source, disponibile a sua volta sotto forma di estensione scaricabile dal Chrome Web Store. Battezzato “Under New Management“, il software si propone come obiettivo primario quello di monitorare le estensioni installate in Chrome e nei browser derivati da Chromium, avvisando l’utente ogniqualvolta una o più estensioni dovessero “passare di mano”.

Il codice di “Under New Management” è disponibile pubblicamente e l’attività di Frisbie è di per sé garanzia della legittimità e dell’assoluta bontà dell’estensione. Che si rivela decisamente utile per porre in essere eventuali contromisure, ad esempio la disinstallazione delle estensioni la cui proprietà fosse passata da un soggetto a un altro.

Nel caso in cui dovessero essere rilevate delle variazioni, un’indicazione riporta chiaramente gli estremi del precedente sviluppatore e i riferimenti di quello nuovo.

Certo, lo sviluppo di un’estensione che transita da un soggetto a un altro potrebbe non essere necessariamente indizio di un problema ma è comunque qualcosa che non può e non deve essere sottovalutata. Frisbie evidenzia che dovrebbe essere il browser stesso a evidenziare questi cambiamenti e auspica che le cose possano mutare nel prossimo futuro. Per dare modo agli utenti di assumere decisioni libere e informate.

Credit immagine in apertura: iStock.com – Fuad Afandi