Milhares de extensões do Google Chrome comprometem a segurança dos utilizadores
28 Maio, 2021A Google lançou recentemente a versão 91 do Chrome, mas isso não impediu os pesquisadores de segurança de computador do CISPA Helmholtz Center de examinar as 186.000 extensões do Chrome Web Store. O objectivo era o de verificar se essas extensões desactivavam, ou não, os cabeçalhos de segurança para ligações HTTP.
Esses cabeçalhos HTTP de segurança são especialmente projectados para impedir muitos ataques cibernéticos, como o envio de dados corrompidos, ou a exploração de várias vulnerabilidades. Por exemplo, o cabeçalho HSTS (HTTP Strict Transport Security) usa criptografia de dados (certificado SSL) para evitar que os seus dados sejam interceptados por agentes mal-intencionados enquanto está a navegar. Outro exemplo, o cabeçalho Public Key Pinning protege o utilizador contra a emissão não autorizada de certificados e, portanto, evita ataques Man-in-the-Middle usados em particular para roubar credenciais de acesso, ou outros dados. No entanto, e segundo os resultados obtidos pelos pesquisadores, 2.485 extensões removem pelo menos um dos seguintes quatro cabeçalhos HTTP:
- O protocolo HSTS
- XFO (X-Frame options) que protege os visitantes de um site contra a técnica de clickjacking (permite que o utilizador seja redirecionado para um conteúdo diferente daquele escolhido pelo mesmo)
- O XCTO (X Content Type Options) que protege o servidor contra tentativas de farejar tipos MIME (permite que um invasor execute certas operações perigosas contra o site ou o utilizador)
- O CSP (Política de Segurança de Conteúdo) que impede que um invasor introduza scripts maliciosos na página principal de um site
Extensões do Chrome Web Store ignoram os cabeçalhos HTTP
O melhor de tudo é que 533 extensões removem esses quatro cabeçalhos simultaneamente. Conforme especificam os pesquisadores, não há necessariamente uma vocação para prejudicar a segurança do utilizador, os programadores dessas extensões preferem prescindir desses mesmos cabeçalhos para oferecer mais funcionalidades com o seu software.
No entanto, o resultado permanece o mesmo no final, com o risco de ataques cibernéticos para o utilizador dessas extensões do Google Chrome, que aumenta drasticamente.
Sandro Sotto
Licenciado em Educação Física e apaixonado por novas tecnologias e gadgets. O meu hobbie alem da família e os amigos são os desportos motorizados e mais recentemente comecei a dedicar-me ao mergulho.