Mercado fechado

Rede com ao menos 70 extensões do Chrome roubava dados do usuário

Felipe Junqueira

Nada menos que 70 extensões disponíveis na Chrome Web Store, que totalizavam mais de 32 milhões de downloads, estavam roubando dados pessoais e de navegação dos usuários, de acordo com pesquisadores da Awake Security. O Google foi avisado da existência de uma rede de spywares e removeu as aplicações da loja de seu navegador no mês passado.

As extensões estavam disfarçadas de conversores de arquivos ou, ironicamente, alertavam os usuários contra sites maliciosos — ou diziam fazer essas tarefas. Na verdade, elas se aproveitavam para puxar dados de navegação para enviar a servidores cujos domínios haviam sido registrados junto à empresa israelense GalComm.

De acordo com os pesquisadores, a GalComm se aproveitou da confiança obtida ao se tornar um registrador de domínios para iniciar atividades maliciosas “em mais de uma centena de redes que examinamos". "Além disso, a atividade maliciosa conseguiu se manter oculta ignorando várias camadas de controle de segurança, mesmo em organizações sofisticadas com investimentos significativos em cibersegurança”, revelam os especialistas.

Falha na verificação do Google

Desde 2018, o Google passou a fazer um monitoramento mais agressivo das extensões publicadas na Web Store, incluindo análises detalhadas em aplicações que exigem “permissões poderosas”. Mesmo assim, a rede de spyware conseguiu entrar na loja sem grandes problemas, até ser detectada pelos pesquisadores.

À Reuters, o porta-voz do Google Scott Westover garantiu que “quando somos alertados de extensões na Web Store que violam nossas políticas, tomamos ação e usamos o incidente como material de treinamento para melhorar nossas análises automatizadas e manuais”. Ele não explicou, porém, como tantas extensões conseguiram sobreviver por tanto tempo na loja sem que a companhia detectasse problema tão grave.

Você pode baixar o relatório completo (em inglês) no site da Aware Security. A lista de extensões maliciosas não contém os nomes “comerciais” utilizados por elas na Web Store — há apenas os códigos delas na loja e todas já foram removidas.

Fonte: Canaltech