Uma análise conduzida por pesquisadores de segurança com 48 mil extensões do Google Crome descobriu que muitas delas são utilizadas para fraude e roubo de dados, e essas ações muitas vezes não são percebidas pelo usuário.

Com autoria de Neha Chachra, Christopher Kruegel, Chris Grier, Giovanni Vigna e Vern Paxson, o estudo será mostrado amanhã no Usenix Security Symposium, em San Diego.

Os pesquisadores descobriram que 130 extensões eram completamente maliciosas e que 4.712 eram suspeitas, envolvidas em várias atividades de fraude, roubo de credenciais, fraude em anúncios e abuso em redes sociais. Algumas dessas extensões foram baixadas milhões de vezes.

Os pesquisadores desenvolveram um sistema chamado Hulk, que observa de perto como as extensões do navegador se comportam ao interagir com sites. Parte disso envolveu a criação das chamadas “HoneyPages”, que são criadas especialmente para atrair o comportamento malicioso.

Pelo fato de adicionarem funcionalidades ao navegador, as extensões precisam de muito poder. Normalmente elas pedem várias permissões provenientes das APIs do Chrome. As extensões podem, por exemplo, interceptar requisições web do browser, modificá-las e injetar JavaScript nos sites.

Durante o estudo, os pesquisadores trabalharam de perto com o Google. A empresa faz review das extensões antes de liberá-las para a Web Store do Chrome, mas isso não impediu a entrada de extensões maliciosas.

Devido ao estudo, o Google implementou várias alterações para aumentar o controle sobre suas extensões. Assim, agora está mais difícil instalar extensões de fora da Web Store, uma prática conhecida como “side loading”.

Poucas extensões que tentam interferir em sessões de online banking foram encontradas, mas uma análise mais aprofundada pode revelar comportamentos maliciosos que estão muito bem escondidos.

Uma extensão voltada para usuários chineses foi baixada mais de 5,5 milhões de vezes e utiliza um beacon de rastreamento para reportar as páginas visitadas por uma pessoa a um servidor remoto. Esses relatórios não são enviados com criptografia SSL (Secure Sockets Layer).

Em outro exemplo, algumas extensões foram modificadas ou tiveram parâmetros adicionados dentro de uma URL para conseguir realizar fraude de vendas afiliadas. Empresas de varejo como a Amazon pagam uma pequena taxa para webmasters, conhecidos como afiliados, quando alguém clica em um link de seu site que leva a uma venda. Isso é rastreado ao adicionar um código correspondente ao afiliado dentro da URL.

Outras extensões trocam o código de afiliado legítimo por outro delas, obtendo crédito fraudulento pela venda. Desde que o Google tomou conhecimento do estudo, ele adicionou o item de fraude de afiliados na sua lista de checagem de extensões.

Também foram encontradas extensões que alteram a publicidade em um site a fim de ganhar dinheiro. Às vezes as extensões trocam anúncios em banners, injetam anúncios em sites sem propaganda, como a Wikipedia, ou inserem publicidade no topo da tela sobre o conteúdo do site original.

Com informações de PC World