Ni una ni dos, hasta 500 extensiones de Chrome te han robado datos en secreto
Las extensiones de Google Chrome representan la parte más vulnerable del navegador. Pese a los controles de seguridad que impone el gigante de Internet, siempre acaban colándose extensiones de Chrome que roban datos personales o infectan el ordenador con malware. Cuando son detectadas, estas extensiones se borran inmediatamente, pero muchas veces pasan meses actuando libremente. Hoy conocemos que hasta 500 extensiones de Google Chrome han robado datos privados en secreto a millones de usuarios.
Más de 500 extensiones con millones de descargas en la Google Play Store han sido eliminadas de un plumazo al detectarse que han estado subiendo en secreto tus datos personales a servidores de ciberdelincuentes. Esto se desprende de una minuciosa investigación publicada ayer miércoles que destapa una campaña a gran escala de publicidad fraudulenta y malvertising. Todo ha sido posible gracias a la investigadora independiente Jamila Kaya.
Redirecciones, malware y robo de datos
En un primer momento, identificaron un total de 71 extensiones de Google Chrome Store con 1,7 millones de descargas. Después de reportárselo al gigante de Internet, sus investigaciones sirvieron para desenmascarar más de 430 extensiones adicionales que formaban parte de esta campaña.
Mediante técnicas especiales de ofuscación, los ciberdelincuentes consiguieron conectar los navegadores de los usuarios a su infraestructura de control. Una vez conseguido, extraían datos de navegación privados, además de exponer a los usuarios a publicidad al navegar que no debía estar ahí. Finalmente, se implementaban medidas para evitar los controles de fraude de la Google Chrome Store.
La mayoría de las extensiones maliciosas compartían código fuente, pero nombres diferentes en algunas funciones para evitar los controles de Google. Además, requerían permisos que no eran necesarios por su naturaleza. De hecho, esto es siempre un indicativo que puede utilizar el usuario para decidir si debe instalar o no una extensión (o una aplicación en su teléfono móvil).
Por ejemplo, estas extensiones pedían permisos para acceder al portapapeles, a través del que robaban las cookies almacenadas en local en el navegador. De forma periódica, esta información era remetida a varios dominios que compartían nombres con la extensión, como Mapstrekcom, ArcadeYumcom…
Además de esto, mostraban publicidad adicional a los usuarios, siendo el 60 o 70 por cuente de las ocasiones a sitios fraudulentos. En el resto de los casos, mostraban publicidad a portales legítimos como Dell o Best Buy para evitar destapar las sospechas de los usuarios.
Los usuarios deben extremar las precauciones con las extensiones que instalan en el navegador. Ya hemos visto que el número de descargas puede no ser un indicativo demasiado fiable, por lo que los permisos que requieren se colocan en primera posición para determinar su seguridad.