Di recente, nel Chrome Web Store (l’archivio ufficiale delle estensioni per il browser Google Chrome) sono state scoperte diverse decine di estensioni dannose. La più popolare è stata scaricata oltre nove milioni di volte e complessivamente queste estensioni hanno fatto registrare circa 87 milioni di download. Kaspersky ha voluto vederci meglio e sul suo blog ha fornito un approfondimento su queste estensioni.

Tutto è iniziato quando il ricercatore di cybersecurity indipendente Vladimir Palant ha trovato nel Chrome Web Store un’estensione contenente codice sospetto denominata PDF Toolbox. A prima vista si trattava di un normale plug-in per la conversione di documenti di Office e l’esecuzione di altre semplici operazioni con i file PDF.

Oltre a un’impressionante base utenti, PDF Toolbox vantava quasi due milioni di download e recensioni positive, con un punteggio medio di 4.2. Questa estensione, tuttavia, accedeva a un sito serasearchtop[.]com, da cui caricava del codice arbitrario in tutte le pagine visualizzate dall’utente. Eseguendo una ricerca in Chrome Web Store per verificare se fossero presenti altre estensioni che accedevano a questo server, Palant ha trovato oltre venti altri plug-in con funzionalità aggiuntive simili. Nel complesso erano stati scaricati 55 milioni di volte.

Dopo aver raccolto numerosi campioni di estensioni dannose, Palant ha condotto una ricerca ancora più approfondita nello store di Google e ha scoperto 34 estensioni dannose con funzionalità di base completamente diverse. Nell’insieme, queste estensioni hanno totalizzato 87 milioni di download. Il più popolare plug-in dannoso trovato dal ricercatore è Autoskip for Youtube con nove milioni di download.

Caricate nel 2021 e nel 2022, quando è stato condotto lo studio, le estensioni si trovavano in Chrome Web Store da almeno sei mesi. In alcuni casi, tra le recensioni si trovavano anche le segnalazioni di utenti particolarmente attenti che riferivano che le estensioni avevano sostituito gli indirizzi nei loro risultati di ricerca con collegamenti adware. Segnalazioni che però non sono state notate dai moderatori di Chrome Web Store.

Dopo la pubblicazione dello studio di Palant e di un’altra ricerca condotta da un team di esperti sullo stesso argomento, Google ha finalmente rimosso le estensioni pericolose. Ma è stato necessario l’intervento di diversi autorevoli specialisti perché accadesse. Per inciso, è la stessa cosa che succede in Google Play: le segnalazioni degli utenti comuni generalmente passano inosservate.

Le estensioni del browser presentano tre problemi principali. Il primo è rappresentato dal livello di accesso ai dati utente di cui dispongono. Di fatto, per il corretto funzionamento di qualsiasi plug-in è necessario il consenso dell’utente per l’accesso in lettura e modifica di tutti i dati personali in tutti i siti Web. Ciò significa che le estensioni vedono tutto quello che l’utente fa in tutti i siti che visita e che possono modificare arbitrariamente il contenuto di una pagina visualizzata. In questo modo, i creatori delle estensioni sono potenzialmente in grado (tra le altre cose) di tracciare gli utenti per raccogliere e vendere informazioni su tutte le loro attività, rubare dettagli delle carte e credenziali degli account e sostituire la pagina iniziale del browser con un collegamento pubblicitario.

chrome-icon-with-padlock

Il secondo problema è che gli utenti in genere prestano poca attenzione ai pericoli che le estensioni dei browser comportano: ne installano molte e concedono loro il consenso ad accedere in lettura e modifica a tutti i dati salvati nei browser. Che alternative hanno? Se negano il consenso, il plug-in semplicemente non funzionerà. In teoria, i moderatori degli store in cui si trovano questi plug-in dovrebbero controllare la sicurezza delle estensioni. Tuttavia, e con questo arriviamo al terzo problema, da quanto detto fin qui è chiaro che questi controlli non sono sufficienti: persino nel Chrome Web Store ufficiale di Google sono state trovate decine di estensioni dannose. E possono rimanere lì per anni, nonostante le recensioni degli utenti.

È importante tenere presente che i plug-in vietati in uno store non vengono automaticamente rimossi dai dispositivi di tutti gli utenti che li hanno installati. Vale quindi la pena verificare se nel vostro dispositivo è stata installata qualche estensione dannosa. Kaspersky invita a disinstallare immediatamente i plug-in elencati di seguito e, se necessario, scaricarne un’alternativa sicura:

Autoskip for Youtube
Soundboost
Crystal Adblock
Brisk VPN
Clipboard Helper
Maxi Refresher
Quick Translation
Easyview Reader view
PDF Toolbox
Epsilon Ad blocker
Craft Cursors
Alfablocker ad blocker
Zoom Plus
Base Image Downloader
Clickish fun cursors
Cursor-A custom cursor
Amazing Dark Mode
Maximum Color Changer for Youtube
Awesome Auto Refresh
Venus Adblock
Adblock Dragon
Readl Reader mode
Volume Frenzy
Image download center
Font Customizer
Easy Undo Closed Tabs
Screence screen recorder
OneCleaner
Repeat button
Leap Video Downloader
Tap Image Downloader
Qspeed Video Speed Controller
HyperVolume
Light picture-in-picture

Questo elenco di plug-in dannosi è stato compilato dallo stesso Vladimir Palant, con l’avvertenza che potrebbe non essere completo. È pertanto consigliabile fare attenzione anche alle altre estensioni.