Una investigación reciente de la Universidad de Wisconsin-Madison ha revelado que un “porcentaje significativo” de las extensiones de Chrome (aproximadamente el 12,5%) ha obtenido permisos de los usuarios que permiten el acceso a información personal sensible. El enfoque principal de la publicación se centra en las contraseñas, las cuales, según los investigadores, a menudo se almacenan en PlainText en el código fuente, incluso en sitios web de buena reputación. Estas contraseñas desprotegidas, según ellos, pueden convertirse en objetivos fáciles para extensiones maliciosas en busca de datos.

Los investigadores descubrieron que en el 15% de los sitios web estudiados (que no son sitios oscuros ni poco conocidos, sino que están vinculados a nombres importantes como Google y Cloudflare, entre otros), las contraseñas estaban “presentes en PlainText, o texto simple, en el código fuente HTML.” En opinión de los investigadores, esta actitud descuidada por parte de los desarrolladores, combinada con las reglas relativamente flexibles para el desarrollo de extensiones en Chrome, deja una gran brecha para que los hackers exploren esta vulnerabilidad. Durante el estudio, identificaron 190 extensiones que estaban “accediendo directamente a los campos de contraseña”, incluyendo extensiones populares como AdBlockPlus y Honey, ambas con más de 10 millones de descargas.

Fuente

Los investigadores afirmaron:

“Al analizar los archivos de manifiesto (archivos de formato JSON que proporcionan información importante sobre las capacidades de las extensiones y los archivos que utilizan), descubrimos que el 12,5% (17,3K) de las extensiones tienen los permisos necesarios para extraer información sensible en todas las páginas web”.

A pesar de que la nueva plataforma de extensiones de Google Chrome, el Manifesto V3, ha impuesto restricciones en el potencial de las extensiones de navegador, los investigadores encontraron que estas medidas no son capaces de contener los riesgos de seguridad de manera sustancial. Afirmaron: “A pesar de las mejoras esperadas por el MV3 en cuanto a la seguridad y la privacidad de los usuarios, el funcionamiento de los scripts de contenido permanece sin cambios. Esto hace que la falta de límites de seguridad entre la extensión y la página web persista, permitiendo que una extensión se cargue en el DOM (Modelo de Objeto de Documento) y obtenga acceso ilimitado a un sitio web, lo que implica riesgos de seguridad para los usuarios.”

Parece aterrador, ¿verdad? Entonces, vamos a entender esto mejor.

Todo es cuestión de confianza

Aunque es cierto que las extensiones de bloqueo de anuncios (como muchas otras) requieren ciertos permisos que pueden parecer alarmantes, esto no significa necesariamente que sean maliciosas o que tengan la intención de robar tus datos. Simplemente no tienen otra opción para cumplir con su propósito. Y debes confiar en que lo harán de manera segura.

De hecho, esta no es la primera vez que se han hecho advertencias sobre el alcance del acceso a los datos de los usuarios por parte de las extensiones de navegador. Este problema no es exclusivo de Chrome: las extensiones para otros navegadores, como Firefox, tienen las mismas capacidades y permisos. Esto también ocurre no solo en el caso de los bloqueadores de anuncios: todas las extensiones que necesitan modificar el contenido de las páginas web, como los administradores de contraseñas y las herramientas de productividad, requieren acceso a la información de estas páginas web. La razón técnica detrás de todo esto es el uso de JavaScript, un lenguaje de programación que permite la lectura y modificación de los elementos HTML de una página. Por ejemplo, los administradores de contraseñas utilizan JavaScript para ingresar nombres de usuario y contraseñas en los campos de inicio de sesión, mientras que las herramientas de productividad utilizan este mismo lenguaje para bloquear distracciones, cronometrar tiempos de uso, guardar páginas web, etc. Pero, ¿qué pasa con los bloqueadores de anuncios?

Los bloqueadores de anuncios ejecutan JavaScript para escanear las páginas web en busca de scripts de anuncios y otros elementos que coincidan con su lista de bloqueo. También lo utilizan para ocultar "restos de anuncios", es decir, espacios en blanco o elementos rotos que quedan después de bloquear los anuncios. Este proceso se llama "procesamiento cosmético".

En la descripción de la extensión de navegador AdGuard en la tienda de Chrome, buscamos ser transparentes acerca de por qué necesitamos ciertos permisos.

Así, explicamos que necesitamos permisos para leer y modificar todos los datos en todos los sitios web ("permiso de host" en Chrome) y acceder a las pestañas ("permisos de pestañas") con el fin de bloquear anuncios y aplicar reglas cosméticas para que las páginas tengan una apariencia más limpia. También necesitamos el permiso de webNavigation para determinar el mejor momento para inyectar los scripts de bloqueo de anuncios, es decir, antes de que la página cargue cualquier anuncio.

En resumen, la extensión AdGuard, al igual que muchas otras, puede requerir permisos que parecen intrusivos para funcionar. En última instancia, depende de ti confiar o no en los desarrolladores y en sus justificaciones para el uso de estos permisos.

¿Y debes preocuparte?

Sí, considerando el panorama general, es mejor prevenir. Debes ser consciente al instalar extensiones que pueden acceder a tus datos en las páginas web. Siempre existe la posibilidad de que la extensión que deseas instalar sea maliciosa y tenga la intención de robar tu contraseña o los detalles de tu cuenta bancaria almacenados en PlainText en el código fuente HTML de un sitio web. Con la funcionalidad adicional, pueden surgir ciertos riesgos. Esto es válido no solo para complementos, sino también para otros servicios y dispositivos, como aspiradoras activadas por Wi-Fi o autos modernos con sensores, por ejemplo. En resumen, debes estar dispuesto a aceptar ciertos riesgos al permitir que una extensión haga su trabajo, como bloquear anuncios. No importa si consideras que este intercambio es justo o no, es inevitable.

En 2018, Mozilla publicó una entrada en su blog sobre los permisos de las extensiones, incluyendo los que pueden parecer “más alarmantes”. Explicaron por qué extensiones como los bloqueadores de anuncios necesitan utilizarlos por razones legítimas y destacaron los riesgos asociados.

Sin embargo, Firefox enfatizó que los casos en los que un desarrollador tiene segundas intenciones son posibles, pero aún así “raros”.

Fuente: Mozilla

Es posible que estés pensando que incluso algo “raro” puede causar demasiados problemas. Estamos de acuerdo: ignorar este problema no conlleva ningún beneficio. Hace algunos años, expusimos varias extensiones de bloqueo de anuncios maliciosas que robaron el código de extensiones legítimas y podían alterar tu navegador según su voluntad. En ese momento, estimamos que más de 20 millones de personas podrían estar siendo afectadas por estos bloqueadores de anuncios falsos. Entonces, la pregunta que queda es: ¿cómo podemos sentirnos un poco más cómodos al otorgar tantos permisos a nuestra extensión?

Bueno, aquí tienes una lista de todo lo que una extensión necesita para considerarse segura:

• El autor de la extensión está claramente identificado, tiene una dirección física y, idealmente, tiene experiencia en la industria durante mucho tiempo.

• Existe una política de privacidad que es clara y fácil de entender.

• Los motivos para las solicitudes de permisos se explican de manera abierta y clara, y son coherentes con lo que ofrece la extensión.

• La extensión tiene un código abierto: puedes ver una lista de todos los cambios y siempre está disponible (por ejemplo, la extensión del bloqueador de anuncios AdGuard para Chrome es gratuita y de código público).

• El desarrollador tiene una presencia en línea activa y puede ser contactado fácilmente por los usuarios (a través de redes sociales, sitios web o servicio de soporte), proporcionando respuestas rápidas.

• La extensión tiene buenas calificaciones y reseñas. Sin embargo, esto no garantiza la seguridad al 100%, ya que los comentarios y las calificaciones pueden ser manipulados por bots o dejados por usuarios que aprecian el funcionamiento de la extensión sin considerar otros aspectos. Pero eso es otra historia.