Se han descubierto extensiones populares de Chrome que filtran datos mediante conexiones no cifradas.

Una investigación reciente ha revelado que varias extensiones ampliamente utilizadas de Google Chrome están transmitiendo datos confidenciales de los usuarios a través de conexiones HTTP no cifradas, lo que expone a millones de usuarios a graves riesgos de privacidad y seguridad.

Los hallazgos, publicados por investigadores de ciberseguridad y detallados en una entrada de blog de Symantec, revelan cómo extensiones como:

Rango de PI (ID: ccgdboldgdlngcgfdolahmiilojmfndl)

VPN de Browsec (ID: omghfjlpggmjjaagoclmmobgdodcjboh )

Nueva pestaña de MSN (ID: lklfbkdigihjaaeamncibechhgalldgl)

Clasificación de SEMRush ( ID: idbhoeaiokcojcgappfigpifhpkjgmab )

Administrador de contraseñas y bóveda digital DualSafe (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc)

También existen otras extensiones que manejan datos de los usuarios de maneras que abren la puerta a escuchas clandestinas, elaboración de perfiles y otros ataques.

Aunque estas extensiones son legítimas y están destinadas a ayudar a los usuarios a monitorear clasificaciones web, administrar contraseñas o mejorar su experiencia de navegación, detrás de escena están realizando solicitudes de red sin cifrado, lo que permite que cualquier persona en la misma red vea exactamente lo que se está enviando.

En algunos casos, esto incluye detalles como los dominios que visita un usuario, información del sistema operativo, identificadores únicos de máquina y datos de telemetría. Aún más preocupante, se descubrió que varias extensiones tenían claves API, secretos y tokens codificados en su código fuente, información valiosa que los atacantes pueden explotar fácilmente.

Cuando las extensiones transmiten datos mediante HTTP en lugar de HTTPS , la información viaja por la red en texto plano. En una red Wi-Fi pública, por ejemplo, un agente malicioso puede interceptar esos datos con poco esfuerzo. Peor aún, puede modificarlos durante la transmisión.

Esto abre la puerta a ataques que van mucho más allá del espionaje. Según la publicación del blog de Symantec, en el caso de Browsec VPN, una popular extensión centrada en la privacidad con más de seis millones de usuarios, el uso de un endpoint HTTP durante el proceso de desinstalación envía identificadores de usuario y estadísticas de uso sin cifrar. La configuración de la extensión le permite conectarse a sitios web inseguros, lo que amplía aún más la superficie de ataque.

Otras extensiones presentan problemas similares. Se descubrió que SEMRush Rank y PI Rank, ambas diseñadas para mostrar la popularidad de un sitio web, enviaban las URL completas de los sitios visitados mediante HTTP a servidores externos. Esto facilita que un observador de la red genere registros detallados de los hábitos de navegación de un usuario.

La nueva pestaña y la página de inicio de MSN, con cientos de miles de usuarios, transmiten identificadores de máquinas y otros detalles del dispositivo. Estos identificadores se mantienen estables en el tiempo, lo que permite a los atacantes vincular múltiples sesiones y crear perfiles que persisten durante la actividad de navegación.

Incluso DualSafe Password Manager, que por naturaleza gestiona información confidencial, fue detectado enviando datos de telemetría a través de HTTP . Si bien no se filtraron contraseñas, el hecho de que alguna parte de la extensión utilice tráfico sin cifrar plantea dudas sobre su diseño general.

Patrick Tiquet , vicepresidente de Seguridad y Arquitectura de Keeper Security, comentó al respecto: « Este incidente pone de manifiesto una grave deficiencia en la seguridad de las extensiones: incluso las extensiones más populares de Chrome pueden poner en riesgo a los usuarios si los desarrolladores toman atajos. La transmisión de datos a través de HTTP sin cifrar y la codificación rígida de secretos expone a los usuarios a la elaboración de perfiles, el phishing y los ataques de intermediarios, especialmente en redes inseguras » .

Advirtió sobre las consecuencias para los usuarios desprevenidos y recomendó que “ las organizaciones deben tomar medidas inmediatas aplicando controles estrictos en torno al uso de las extensiones del navegador, administrando secretos de forma segura y monitoreando el comportamiento sospechoso en los puntos finales ” .

Aunque no se detectó que ninguna de las extensiones filtrara contraseñas ni datos financieros directamente, la exposición de identificadores de máquinas, hábitos de navegación y telemetría no es inofensiva. Los atacantes pueden usar estos datos para rastrear a los usuarios en diferentes sitios web, lanzar campañas de phishing dirigidas o suplantar la telemetría del dispositivo con fines maliciosos.

Aunque teórico, los últimos hallazgos de NordVPN detectaron más de 94 mil millones de cookies de navegador en la dark web . Al combinarse con las filtraciones de datos señaladas por Symantec, el potencial de daño es considerable.

Los desarrolladores que incluyen claves API o secretos codificados en sus extensiones añaden un nivel adicional de riesgo. Si un atacante obtiene estas credenciales, puede usarlas indebidamente para suplantar la identidad de la extensión, enviar datos falsificados o incluso inflar el uso del servicio, lo que conlleva costos financieros o la suspensión de cuentas para los desarrolladores.

Symantec se ha puesto en contacto con los desarrolladores implicados, y solo DualSafe Password Manager ha solucionado el problema. Sin embargo, se recomienda a los usuarios que hayan instalado alguna de las extensiones afectadas que la eliminen hasta que los desarrolladores solucionen los problemas. Incluso las extensiones populares y con buenas reseñas pueden adoptar decisiones de diseño inseguras que pasan desapercibidas durante años.

Hckread.com recomienda verificar los permisos que solicita una extensión, evitar editores desconocidos y usar una solución de seguridad confiable. Sobre todo, cualquier herramienta que prometa privacidad o seguridad debe examinarse cuidadosamente por cómo maneja sus datos.