Jump to content

Turbine o seu Perfil

Confira a atualização e participe do clube!
Clique e saiba mais

Junte-se ao Clube de Membros VIP

Tenha destaque e diversos benefícios!
Confira Aqui

Acesse nosso Discord

Conheça nossos canais interativos
Confira Aqui
Notícia
  • Adquira já o seu VIP!
Sign in to follow this  
OpsX

dicas O perigo das extensões de navegadores

Recommended Posts

images?q=tbn:ANd9GcQZnDuWWyS4S-KA7muvEaG

O perigo das extensões de navegadores!
Afinal, nada é tão seguro quanto pensamos...

 

Citar

Você provavelmente está familiarizado com as extensões de navegadores, algo que a maioria de nós utiliza diariamente. Elas adicionam funcionalidades úteis, mas ao mesmo tempo, são uma ameaça tanto para sua privacidade quanto para segurança.

Vamos discutir o que há de errado com elas e como você pode assegurar a proteção dos seus dispositivos.

Primeiro, vamos entender o que são exatamente as extensões.

O que são extensões de navegadores e por que você precisa delas?
Estendendo nossas funcionalidades

Uma extensão é como um plugin para o seu navegador que adiciona certas funcionalidades ao mesmo.

As extensões podem modificar a interface de usuário ou adicionar algumas opções de serviços web.

extensoes-chrome-2.jpg

 

Por exemplo, as extensões são utilizadas para bloquear anúncios, traduzir textos, ou adicionar páginas em outros serviços de notas como Evernote ou Pocket. As extensões são muitas – existem centenas ou até milhares - para produtividade, customização, compras, jogos e mais.

Quase todos os navegadores mais populares suportam extensões – você pode encontrá-las no Chrome e Chromium, Safari, Opera, Internet Explorer e Edge. Elas estão amplamente disponíveis e algumas são bastante úteis, então muitas pessoas acabam usando várias.

O que pode dar errado com as extensões?
Errar é Humano...
 

Em primeiro lugar, as extensões podem ser puramente maliciosas. Isso acontece em sua maioria com aquelas que vêm de sites de terceiros, mas algumas vezes – como nos casos do Android e da Google Play em lojas oficiais também.

Por exemplo, pesquisadores  descobriram quatro extensões na

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
 que pareciam inofensivos aplicativos de lembretes, mas na verdade foram pegos gerando lucros para seus criadores ao clicarem secretamente em anúncios pagos por clique.

 

Citar

Como uma extensão pode fazer algo assim? Bom, para fazer qualquer coisa, uma extensão requer permissões. O problema é que, dentre os navegadores comumente utilizados pelas pessoas, só o Google Chrome pergunta ao usuário se pode conceder essas permissões; outros permitem que as extensões façam o que quiserem como padrão, e o usuário não tem opção

 

No entanto, mesmo no Chrome esse gerenciamento de permissões existe apenas na teoria – na prática, não funciona. Mesmo as extensões mais básicas normalmente exigem permissão para “ler e modificar todos os seus dados nos sites que você visita”, o que dá a elas o poder de fazer virtualmente o que quiserem com suas informações. E se você não conceder essa permissão, não serão instaladas.

 

Sequestrando e comprando extensões
Nem sempre é intencional... mas ás vezes...
 

images?q=tbn:ANd9GcSBM5JtHbCaGt21LFUWgIZ

 

As extensões de navegadores são um alvo interessante para os criminosos, porque muitas possuem enormes bases de usuários. E elas são atualizadas automaticamente -se um usuário baixou uma extensão inofensiva, pode ser atualizada para se tornar maliciosa; esse update seria baixado para o usuário imediatamente –ele pode nem perceber.

Um bom desenvolvedor não faria isso, mas a sua conta pode ser sequestrada e uma atualização maliciosa ser disponibilizada na loja oficial em seu nome. Foi isso o que aconteceu quando criminosos utilizaram phishing para conseguirem as credenciais de acesso dos desenvolvedores de um plugin popular chamado Copyfish. Nesse caso, o plugin, que originalmente fazia reconhecimento visual, foi utilizado por criminosos para distribuir anúncios adicionais aos usuários.

Citar

Às vezes, desenvolvedores são abordados por empresas que se oferecem para comprar suas extensões por quantias bastante atraentes. As extensões normalmente são difíceis de monetizar, motivo pelo qual os desenvolvedores frequentemente correm para fechar esses acordos. Depois que a empresa compra a extensão, pode atualizá-la com características maliciosas, e essa atualização será empurrada para os usuários.

Por exemplo, é o que aconteceu com a

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
, extensão popular do Chrome para customizar o YouTube que foi abandonada pelos desenvolvedores. Uma empresa a comprou e imediatamente a transformou em adware.

 

Não maliciosas, mas perigosas
Quem não tem cão, caça com gato...

 

Até mesmo extensões que não são maliciosas podem ser perigosas. O perigo aparece porque a maioria delas têm a habilidade de coletar muitos dados sobre os usuários (lembre-se da permissão de “ler e modificar todos os seus dados em sites que você visita”). Para garantir o seu ganha-pão, alguns desenvolvedores vendem dados anônimos coletados para terceiros. Isso normalmente é mencionado no Acordo de Licença ao Usuário Final (EULA) da extensão.

 

Citar

O problema é que na maioria das vezes esses dados não se tornam suficientemente anônimos, o que leva a problemas sérios de privacidade: quem comprou os dados pode identificar os usuários do plugin. Isso aconteceu com o

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
 – plugin que já foi muito popular para Chrome, Firefox, Internet Explorer, Opera, Safari e outros navegadores. O plugin era usado para avaliar sites baseado na opinião popular. Além disso, a extensão coletava todo o histórico de navegação de seus usuários.

 

Um site alemão alegou que o Web of Trust estava vendendo os dados coletados para terceiros sem torná-los devidamente anônimos, o que fez com o que o Mozilla retirasse a extensão da sua loja. Os criadores da extensão então a removeram de todas as outras lojas de navegadores. No entanto, um mês depois a extensão estava de volta. O Web of Trust não é uma extensão maliciosa, mas pode prejudicar pessoas expondo seus dados para alguém que não deveria saber quais os sites os usuários visitam e o que fazem lá.

 

Como utilizar as extensões de maneira segura?
Segurança em primeiro lugar dessa extensa lista
 

seguro-auto-106.jpg
 

Citar

Apesar do fato de que as extensões podem ser perigosas, algumas delas são realmente úteis, e é por isso que você provavelmente não vai querer abandoná-las completamente.

Continuo usando pelo menos meia dúzia delas, e tenho certeza que duas destas utilizam a permissão de “ler e modificar” mencionada anteriormente.

 

Pode ser mais seguro não usá-las, mas isso é inconveniente, então precisamos de uma maneira de usar extensões mais ou menos com segurança. Aqui está como:

  • Não instale muitas. Elas não apenas afetam a performance do seu computador, como são um potencial vetor de ataque, então limite sua quantidade para apenas algumas das mais úteis.

 

  • Instale apenas de lojas oficiais. Lá, passam por análises nas quais especialistas de segurança filtram aquelas que são maliciosas dos pés à cabeça.

 

  • Preste atenção às permissões que as extensões exigem. Se uma extensão já instalada em seu computador pede uma nova permissão, isso imediatamente deve chamar a sua atenção; alguma coisa provavelmente está acontecendo. Essa extensão pode ter sido sequestrada ou vendida. E antes de instalar qualquer extensão, é sempre uma boa ideia olhar as permissões exigidas e refletir se elas condizem com a funcionalidade do aplicativo. Se você não consegue encontrar uma explicação lógica para as permissões, provavelmente é melhor não instalar.

 

  • Use uma boa solução de segurança. alguns antivírus que tem extensões   pode detectar e neutralizar códigos maliciosos em extensões de navegadores.  Antivírus recomendados usam uma vasta base de dados de extensões maliciosas que é frequentemente atualizada 

 

Créditos
Kaspersky /  Alex Perekalin
 

 

Edited by ORION'

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×
×
  • Create New...