El secreto no tan sucio de los navegadores web es que las extensiones del navegador pueden ser una debilidad importante en la seguridad. La última vez que escribimos sobre este problema con extensiones maliciosas fue en diciembre. Pero el problema con las extensiones merece un tratamiento adicional, especialmente porque pueden combinar una cadena de suministro muy inteligente y métodos de ofuscación para hacer que este tipo de ataques sea más difícil de detectar y defender.
Estas extensiones son herramientas poderosas: tienen la misma capacidad que tu cuenta de usuario para obtener acceso de lectura / escritura a cualquier dato en cualquier sesión de navegación que abras, lo que hace que explotarlas sea un gran problema. Muchas extensiones no requieren ningún permiso especial para ejecutarse en tu computadora o teléfono.
Algunos de nosotros simplemente instalamos extensiones en el momento : nos encontramos con una página web que solicita "para una mejor visualización, instale esta extensión". En general, esa no es una buena idea; en lugar de hacer clic en el enlace de instalación, tómate un momento para pensar en lo que estás haciendo y ver si puedes arreglártelas sin la extensión.
¿Cómo se pueden explotar las extensiones del navegador?
El problema de la cadena de suministro es importante . Si bien la cadena de suministro de SolarWinds ha recibido mucha atención recientemente, hay otras formas de infiltrarse en las aplicaciones.
Este mes, el investigador de seguridad Brian Krebs escribió sobre extensiones de navegador obsoletas (sitio en inglés) que han sido comprometidas por los ciberdelincuentes. Utilizan extensiones no utilizadas o abandonadas como propagadores de malware mediante la instalación de puertas traseras especiales en el código de las extensiones. Estos delincuentes compran los derechos de las extensiones o negocian con el desarrollador legítimo para agregarles su propio código. En su publicación, Krebs describe la economía detrás de una extensión común que utilizan los desarrolladores para probar sus aplicaciones y muestra que hay muchas extensiones populares que no se han actualizado en años.
El propio Threat Labs de Avast publicó una investigación en diciembre pasado (sitio en inglés) que entra en más detalles sobre la mecánica de la ofuscación empleada por las extensiones malvadas. Rastrearon una extensión llamada CacheFlow que se suma al tráfico de Google Analytics para ocultar sus operaciones de red en este flujo. También tiene la ventaja de proporcionar información detallada de análisis de uso a los atacantes.
Google ha reconocido durante mucho tiempo este vector de amenaza y, hace varios años, comenzó a limitar la forma en que los usuarios instalan las extensiones. Esta "instalación en línea" (en otras palabras, obtener su navegador desde el sitio web de cualquier persona) ha sido bloqueada desde 2018. La única forma legítima de obtener extensiones es desde Chrome Web Store. En su escaparate, Google monitorea automáticamente las extensiones y enviará las últimas actualizaciones automáticamente, o eliminará la extensión cuando los investigadores descubran que se ha visto comprometida.
Garantiza la seguridad de tus extensiones
Otra forma de contraatacar es utilizando Avast Secure Browser. Se basa en el código de Chrome y está disponible para dispositivos Windows, Mac, Android e iOS. Viene con una configuración especial de protección de extensiones que bloquea la instalación de nuevas extensiones.
Puedes verificar y ver qué extensiones estás utilizando actualmente haciendo clic en la columna de tres puntos en la esquina superior derecha de tu navegador, seleccionando 'Más herramientas' y luego 'Extensiones'. Deberás activar el modo de desarrollador y ver cuáles has instalado y también examinar los detalles sobre la procedencia de cada uno. Luego, puedes decidir si debes restringir la extensión a un sitio web específico o eliminar cualquiera de ellos que no reconozcas de inmediato.
Además, en el futuro, "debes tener mucho cuidado al instalar extensiones, adhiriéndose principalmente a aquellas que tienen soporte activo", como escribió Krebs en su publicación antes mencionada. “Y no aceptes actualizar una extensión si de repente solicita más permisos que una versión anterior. Esto debería ser una bandera roja gigante ".