No todas las extensiones de Chrome son tan seguras como podrías imaginar. Algunas, entre otras cosas, tienen capacidad para robar contraseñas de páginas web. Y no creas que roban claves al azar, puesto que son capaces de atacar servicios tan importantes como el correo electrónico Gmail, la red social Facebook o incluso Amazon. ¿Cómo puede ser que esto esté pasando?
El descubrimiento, uno bastante terrible, todo sea dicho, llega de la mano de un grupo de investigadores de la Universidad de Wisconsin-Madison, en Estados Unidos. Su trabajo, dirigido a confirmar la ausencia de un nivel de seguridad sólido en distintos servicios online, así como a poner a prueba la tienda de extensiones de Chrome, se ha llevado a cabo de forma práctica.
Creando una extensión peligrosa
Lo que han hecho los especialistas de esta universidad ha sido diseñar su propia extensión de Chrome con capacidad de robar contraseñas. Sabían el principio sobre el que tenían que trabajar y luego solo debían comprobar el nivel de exigencias que pone Google para la disponibilidad de nuevas extensiones dentro de su tienda. Lo que han confirmado es que hay mucho trabajo que hacer en términos de seguridad a la vista de la forma en la que han podido llevar a cabo su prueba.
Su extensión en cuestión es capaz de robar contraseñas que están almacenadas en archivos de texto sin formato dentro del código fuente de las páginas web. Con ella han dejado constancia de los problemas de seguridad que se deberían solucionar cuanto antes para que los usuarios no sufran ningún peligro mientras usan su navegador. Todos sus datos los han reunido en un estudio que se puede leer online y que abre una nueva vía de riesgo para quienes utilizan Chrome.
Aquí radica el secreto de la extensión
Las conclusiones que sacan los investigadores es que se está dando un nivel de permisos realmente alto y desproporcionado a las extensiones del navegador de Google. El tener tanto acceso permite a las extensiones acceder a una gran cantidad de información, como a los distintos comandos que introduce el usuario cuando hace uso de esas páginas. Así, por ejemplo, en el momento en el que se introduce la contraseña, la extensión puede hacer un registro de ello y que así la clave del usuario se ponga en riesgo.
Y no solo hay que hablar de contraseñas, puesto que no se imponen medidas de seguridad entre las extensiones y las páginas web, y eso deja expuestos un gran volumen de datos del código fuente. Además, los investigadores hacen especial hincapié en que, si bien Google dio un importante paso al frente con la seguridad proporcionada por el protocolo Manifest V3, la mala noticia es que esto no cubre los incidentes con las extensiones. Hoy por hoy no hay una barrera de seguridad entre extensión y web y eso pone en riesgo a los usuarios de una manera notable.
Como decíamos antes, para conseguir probar su descubrimiento, lo que han hecho estos especialistas ha sido subir una extensión a la tienda de Chrome. Google la ha aceptado sin darse cuenta de que esta extensión, presentada como otro clon de ChatGPT, era capaz, entre otras cosas, de capturar los datos de identificación que los usuarios usan al entrar en páginas web. Para ello recurre al código fuente en HTML y consigue descubrir esos datos de identificación que, de ser robados, pondrían las cuentas del usuario en jaque.
Además, la extensión también podía abusar de selectores CSS con similar objetivo y usar una técnica de sustitución de campos JS para que el espacio donde se introducen las contraseñas fuera inseguro. La buena noticia, eso sí, es que la extensión de prueba que han usado tiene un bloqueo por el cual, al final, no extrae los datos de los usuarios. Solo han querido plantearla a modo de experimento y llevarla al límite para comprobar qué era lo que pasaba en ese momento. Vieron que todo lo que temían se confirmaba, pero se ocuparon de ocultar la extensión todo lo posible para que no fuera un riesgo para nadie.
A posteriori han confirmado algunos datos preocupantes. Por ejemplo, que esta tecnología para robar contraseñas está presente en más de 17.000 extensiones disponibles en la tienda de Chrome. Estas extensiones que tienen capacidad maliciosa son, por lo general, herramientas dirigidas al bloqueo de anuncios en el navegador o aplicaciones de compras y tiendas. Con ellas argumentan que se pueden poner en riesgo los accesos de páginas como Gmail, Cloudflare, Facebook, Amazon o incluso bancos como Citibank.
Además, también han descubierto que casi 200 extensiones tienen acceso directo a los datos que guardan los usuarios. Y no son precisamente extensiones que nadie usa, puesto que algunas llegan a superar las 100.000 instalaciones. Por lo tanto, ahora más que nunca hay que tener mucho cuidado con las extensiones de Chrome que se instalan.