Menu
PT (BR)

Pesquisa revela que extensões de navegador podem roubar suas senhas

Uma pesquisa recente da Universidade de Wisconsin-Madison descobriu que uma “porcentagem significativa” das extensões do Chrome (aproximadamente 12,5%) recebeu permissões dos usuários para acessar informações pessoais sensíveis. A publicação foca principalmente em senhas que, segundo os pesquisadores, são armazenadas frequentemente no plaintext do código fonte até mesmo de sites de boa reputação. Estas senhas desprotegidas, segundo eles, podem se tornar alvos fáceis para extensões maliciosas em busca de dados.

Os pesquisadores descobriram que em 15% dos sites estudados (e não se trata de sites obscuros ou pouco conhecidos, mas sim ligados a grandes nomes como o Google e o Cloudflare, entre outros), as senhas estavam “presentes no plaintext, ou texto simples, do código fonte HTML.” Na opinião dos pesquisadores, esta atitude despreocupada por parte dos desenvolvedores combinada com as regras relativamente flexíveis para o desenvolvimento de extensões no Chrome deixa uma brecha enorme para que hackers explorem esta vulnerabilidade. Durante a pesquisa, eles identificaram 190 extensões que estavam “acessando diretamente os campos de senha”, incluindo extensões populares como AdBlockPlus e Honey, ambas com mais de 10 milhões de downloads.

Trecho da pesquisa
Fonte

Os pesquisadores afirmaram:

“Ao analizar os arquivos manifesto (arquivos de formatação JSON que oferecem informações importantes sobre as capacidades das extensões e dos arquivos que utilizam), descobrimos que 12.5% (17,3 mil) das extensões possuem as permissões necessárias para extrair informações sensíveis em todas as páginas da web”.

Por mais que a nova plataforma de extensões do Google Chrome, o Manifest V3, tenha imposto restrições no potencial das extensões de navegador, os pesquisadores descobriram que estas medidas não são capazes de conter os riscos de segurança de forma substancial. Eles afirmaram: “Apesar dos avanços esperados pelo MV3 no âmbito da segurança e da privacidade dos usuários, a operação dos scripts de conteúdo permanecem inalteradas. Isso faz com que a falta de limites de segurança entre a extensão e a página da web permaneça e permite que uma extensão seja carregada no DOM (Modelo de Documento por Objetos) e ganhe acesso irrestrito a um site, o que implica em riscos de segurança para os usuários.”

Parece assustador, não é? Então vamos entender melhor.

É tudo questão de confiança

Por mais que seja verdade que as extensões de bloqueio de anúncios (e muitas outras) exigem algumas permissões assustadoras, isso não quer dizer que sejam maliciosas ou que tenham como propósito o roubo de seus dados. Elas apenas não têm outra alternativa para realizar o que propõem. E você precisa confiar que isso será feito de forma segura.

Na verdade, esta não é a primeira vez que alertas foram feitos com relação ao alcance do acesso de dados de usuários por parte das extensões de navegador. Este problema não é exclusivo do Chrome: extensões para outros navegadores, como o Firefox, têm as mesmas capacidades e permissões. Isso também não ocorre apenas no caso dos bloqueadores de anúncios: todas as extensões que precisam modificar o conteúdo das páginas web, como gerenciadores de senhas e ferramentas de produtividade, exigem acesso às informações de sites. O motivo técnico por trás disso tudo é o uso do JavaScript, uma linguagem de programação que permite a leitura e alteração dos elementos HTML de uma página. Por exemplo, os gerenciadores de senhas utilizam o JavaScript para inserir dados de login de usuários nos campos apropriados, enquanto as ferramentas de produtividade usam esta mesma linguagem para bloquear distrações, cronometrar tempos de uso, salvar páginas da web etc. Mas e os bloqueadores de anúncios?

Os bloqueadores de anúncios rodam o JavaScript para escanear páginas da web em busca de scripts de anúncios e outros elementos compatíveis com a sua lista de bloqueio. Eles também o utilizam para ocultar “sobras de anúncios”, ou seja, espaços em branco ou elementos quebrados deixados para trás após o bloqueio de anúncios. O nome disso é “processamento cosmético”.

Na descrição da extensão de navegador AdGuard da loja do Chrome, nós buscamos ser transparentes sobre os motivos por trás das permissões.

Permissões AdGuard

Assim, nós explicamos que precisamos de permissões para ler e alterar todos os seus dados em todos os websites (“permissão de host” no Chrome) e para acessar abas (“permissões de abas”) com o intuito de bloquear anúncios e aplicar regras cosméticas para que as páginas tenham uma aparência menos poluída. Nós também precisamos da permissão webNavigation para descobrir o melhor momento para injetar os scriplets de bloqueio de anúncios, ou seja, antes que a página carregue qualquer anúncio.

Em resumo, a extensão AdGuard, como muitas outras, pode exigir permissões que parecem intrusivas para que funcione. Em última instância, depende de você confiar ou não nos desenvolvedores e nas suas justificativas para o uso dessas permissões.

E você precisa se preocupar?

Sim. Considerando o cenário geral, é melhor se precaver. É preciso estar consciente ao instalar extensões que podem acessar os seus dados de sites. Sempre existe a possibilidade de que a extensão que você quer acessar seja maliciosa e queira roubar sua senha ou seus detalhes bancários armazenados em plaintext no código fonte HTML de um site. Com a funcionalidade adicional, podem surgir alguns riscos. Isso é válido não apenas para add-ons, mas também para outros serviços e dispositivos, como aspiradores de pó ativados por WiFi ou carros modernos com sensores, por exemplo. Assim, indo direto ao ponto, você precisa aceitar certos riscos ao permitir que uma extensão faça o seu trabalho, como bloquear anúncios. Não importa se você considera esta troca justa ou não, ela é inevitável.

Em 2018, a Mozilla fez um post em seu blog sobre as permissões de extensões, incluindo as “mais assustadoras”. Eles explicaram por que extensões como os bloqueadores de anúncios precisam utilizá-las por motivos legítimos e pontuaram os riscos associados a elas.

No entanto, o Firefox reforçou que estes casos em que um desenvolvedor tem segundas intenções são possíveis, mas ainda assim “raros”.

Blog da Mozilla

Fonte: Mozilla

Você pode estar pensando que até mesmo algo “raro” pode trazer problemas demais. Nós concordamos: ignorar este problema não trará nenhum benefício. Há alguns anos, nós expomos várias extensões de bloqueio de anúncios maliciosas que roubaram o código de extensões legítimas e poderiam alterar o seu navegador da forma que bem entendessem. Na época, nós estimamos que mais de 20 milhões de pessoas podiam estar sendo afetadas por estes bloqueadores de anúncios falsos. Assim, nos resta a seguinte pergunta: como podemos ficar um pouco mais confortáveis ao dar tantas permissões para a nossa extensão?

Bom, aqui está uma lista de tudo o que um extensão precisa para ser considerada segura:

  • O autor da extensão está indicado de forma clara e direta, tendo um endereço físico e, idealmente, estando na indústria já há bastante tempo;

  • A política de privacidade existe, é clara e fácil de entender;

  • Os motivos para as permissões são indicados aberta e claramente, sendo compatíveis com o serviço que a extensão oferece;

  • A extensão tem código aberto: você pode ver uma lista de todas as alterações, ela está sempre disponível (por exemplo, o extensão de navegador do bloqueador de anúncios AdGuard para Chrome é gratuita e pública);

  • O desenvolvedor tem uma presença online ativa e pode ser contactado facilmente pelos usuários (via redes sociais, sites ou serviço de suporte), oferendo respostas rápidas;

  • A extensão tem boas avaliações e reviews. Esta não é, no entanto, uma garantia infalível de segurança, já que os comentários e as notas podem ser manipuladas por bots ou deixadas por usuários que apreciam o funcionamento da extensão e não têm ideia do que está ocorrendo com os seus dados. Mas isso já é outra história.

Gostou deste post?

AdGuard para Windows

AdGuard para Windows é mais do que um bloqueador de anúncios. É uma ferramenta multiusos que bloqueia anúncios, controla o acesso a sites perigosos, acelera o carregamento de páginas e protege as crianças de conteúdos impróprios.
Revisões: 14234
4,7 de 5
Ao baixar o programa, você aceita os termos do Contrato de licença
Leia mais

AdGuard para Mac

Ao contrário de outros bloqueadores de anúncios, o AdGuard foi projetado pensando nas especificações do macOS. Não só fornece defesa contra anúncios no Safari e outros navegadores, mas também lhe protege contra rastreamento, phishing e fraudes.
Revisões: 14234
4,7 de 5
Ao baixar o programa, você aceita os termos do Contrato de licença
Leia mais

AdGuard para Android

AdGuard para Android é a solução ideal para dispositivos móveis Android. Ao contrario dos outros bloqueadores de anúncios, o AdGuard não requer acesso ao usuário root e oferece uma ampla gama de recursos: filtragem em aplicativos, gerenciamento de aplicativos e muito mais.
Revisões: 14234
4,7 de 5
Ao baixar o programa, você aceita os termos do Contrato de licença

AdGuard para iOS

O bloqueador de anúncios mais avançado para o Safari: faz esquecer os anúncios pop-up, acelera o carregamento de páginas, e protege os seus dados pessoais. Uma ferramenta manual de bloqueio de elementos e configurações altamente personalizáveis ajudam-no a adaptar a filtragem às suas necessidades exactas.
Revisões: 14234
4,7 de 5
Ao baixar o programa, você aceita os termos do Contrato de licença

Extensão de navegador AdGuard

O AdGuard tem a extensão de bloqueio de anúncios mais leve, rápida e que efetivamente bloqueia todos os tipos de anúncios em todas as páginas da internet! Escolha o AdGuard para o navegador que você usa e obtenha uma navegação gratuita, rápida e segura.
Revisões: 14234
4,7 de 5

AdGuard para Safari

As extensões de bloqueio de anúncios para o Safari estão enfrentando dificuldades desde que a Apple começou a forçar o uso do novo SDK para todos. A extensão AdGuard deve trazer de volta a alta qualidade de bloqueio de anúncio para o Safari.
Revisões: 14234
4,7 de 5
App Store
Baixar
Ao baixar o programa, você aceita os termos do Contrato de licença

AdGuard Home

O AdGuard Home é um servidor de DNS para bloqueio de anúncios e rastreamento em toda a rede. Depois de configurá-lo, ele abrange TODOS os seus dispositivos domésticos e você não irá precisar de nenhum programa instalado. Com o surgimento da Internet das coisas e dispositivos conectados, torna-se cada vez mais importante poder controlar toda a sua rede.
Revisões: 14234
4,7 de 5

Bloqueador de conteúdo do AdGuard

O Bloqueador de Conteúdo do AdGuard elimina todos os anúncios em navegadores para dispositivos móveis que ofereçem suporte a tecnologia para bloqueio de conteúdo — ou seja Samsung Internet e Yandex Browser. Embora seja mais limitado do que o AdGuard para Android, ele é gratuito, fácil de instalar e ainda oferece alta qualidade de bloqueio de anúncios.
Revisões: 14234
4,7 de 5
Ao baixar o programa, você aceita os termos do Contrato de licença
Leia mais

Assistente do AdGuard

Uma extensão complementar para o AdGuard aplicativos para computador. Oferece acesso no navegador a funcionalidades tais como bloqueio de elementos personalizados, lista de permissões ou envio de um relatório de erro.
Revisões: 14234
4,7 de 5
Assistente para Chrome Este é o seu navegador atual?
Instalar
Ao baixar o programa, você aceita os termos do Contrato de licença
Assistente para Firefox Este é o seu navegador atual?
Instalar
Ao baixar o programa, você aceita os termos do Contrato de licença
Assistente para Edge Este é o seu navegador atual?
Instalar
Ao baixar o programa, você aceita os termos do Contrato de licença
Assistente para Opera Este é o seu navegador atual?
Instalar
Ao baixar o programa, você aceita os termos do Contrato de licença
Assistente para Yandex Este é o seu navegador atual?
Instalar
Ao baixar o programa, você aceita os termos do Contrato de licença
Assistente para Safari Este é o seu navegador atual?
Se você não sabe qual é o seu navegador, tente a antiga versão antiga do Assistente, que você pode encontrar nas configurações da extensão do AdGuard.

AdGuard Temp Mail β

Um gerador de endereços de e-mail temporário gratuito que mantém você anônimo e protege sua privacidade. Nada de spam na sua caixa de entrada principal!
Revisões: 14234
4,7 de 5

AdGuard para Android TV

O AdGuard para Android TV é o único aplicativo que bloqueia anúncios, protege sua privacidade e atua como firewall na sua Smart TV. Receba avisos sobre ameaças da Web, use DNS seguro e aproveite o tráfego criptografado. Relaxe e assista suas séries favoritas com segurança de alto nível e zero anúncios!
Revisões: 14234
4,7 de 5
Baixando o AdGuard Clique no botão indicado pela seta para iniciar a instalação Selecione "Abrir" e clique em "OK", e então aguarde o download do arquivo. Na janela aberta, arraste o ícone do AdGuard para a pasta "Aplicativos". Obrigado por escolher o AdGuard! Selecione "Abrir" e clique em "OK", depois aguarde o download do arquivo ser finalizado. Na janela aberta, clique em "Instalar". Obrigado por escolher o AdGuard!
Instale o AdGuard no seu dispositivo móvel