riesgos extensiones navegador

El otro día estuve hablando con un compañero emprendedor que me quería presentar una idea: la creación de un marketplace de compraventa de aplicaciones móviles.


Le comenté que la idea me gustaba, que no conocía algo tal que así justo en ese mercado (en nichos de SEO por ejemplo es muy habitual), pero que me parecía aún más interesante hacer esto pero con las extensiones de navegador, por ser este mercado aún más inmaduro (en cuanto a control) que el de las apps.

De hecho, es un tema al cual llevo años dedicándole no pocos artículos.

En el mundillo del desarrollo de apps, la propia industria ha ido poco a poco forzando a los desarrolladores a cumplir requisitos y pasar controles cada vez más estrictos, precisamente para evitar potenciales negocios turbios de compraventa de datos y malware.

El escenario actual no es ni mucho menos halagüeño, pero si lo comparamos con la selva de hace unos años, donde cualquiera podía subir una app de linterna y pedir sin problemas permisos de acceso a prácticamente todo el dispositivo del usuario, pues oye, algo hemos mejorado.

El malware y los malos usos siguen campando a sus anchas incluso en las stores oficiales (Google Play y App Store), pero al menos las barreras de entrada son cada vez mayores.

Sin embargo, todos esos nuevos controles brillan por su ausencia si nos fijamos en otro mercado aledaño: el de las extensiones de navegador, que también está gestionado por stores centralizadas (la de Chrome, la de Firefox, la de Safari…), y que en cambio sí permiten muchos más atropellos de seguridad y privacidad.

Y de todo lo que se puede hacer, lo que más me rechina es el hecho de que hoy en día, tanto en el mundillo app, como en el de las extensiones, cualquiera puede comprar un desarrollo de terceros y seguir operando con él sin tener que informar a los usuarios.


Hablamos de acuerdos que se cierran a puerta cerrada, entregando el desarrollador la cuenta de correo asociada a la cuenta de desarrollo (cuando no robada directamente), y que permite, en esencia, a ese nuevo dueño aprovecharse de la base de usuarios que ya tenía la app o la extensión de turno para hacer lo que les de la gana.

En algunos casos, con movimientos tan lícitos (como reprochables éticamente) como es el de capar algunas de las funcionalidades del desarrollo para que pases por caja. Pero en otros casos, que son los que de verdad me preocupan, aprovechando esa base de usuarios para instalarles malware o robarle sus datos, revendiéndoselos sin el consentimiento explícito del usuario a terceros.

Todo gracias a que, de nuevo, no existe un control efectivo, ni tampoco software de seguridad (ES) especializado en situaciones como esta de un desarrollo que pasa a manos de un tercero.

Ya queda en manos de los nuevos dueños decidir si quieren o no informar. Algo que claramente, incluso aquellos que no se plantean hacer nada malo con la compra, no suele interesar, por eso de que lo mismo habrá un porcentaje de esos usuarios que ante la incertidumbre deciden eliminar la app o extensión en cuestión.

Ejemplos de familias de extensiones maliciosas

Como decía, este tipo de movimientos son habituales tanto en el sector de las apps para móviles, como en el de las extensiones para navegador, pero es que en este último se junta el hecho de que los controles de seguridad son muy limitados, permitiendo por ejemplo a un tercero comprar una extensión antigua que tenía los permisos ya pedidos, y al no actualizarla, no necesitar volver a pedirlos, teniendo por tanto acceso a todo lo que en su día el desarrollador de turno pidió, seguramente por el simple hecho de que podía hacerlo.

Ya no solo eso, sino que en extensiones uno de los permisos más habituales es el de “poder leer y cambiar todos tus datos en todas las webs que visites”. Es el permiso comodín, que prácticamente todas las extensiones piden para poder realizar cambios en las webs que visitamos.

Y sí, en algunos casos obviamente es necesario pedirlo. Una extensión de traducción a otro idioma lo necesita para poder cambiar el texto que está mostrando la web, una extensión de SEO lo necesita para poder pintar sobre la web en cuestión los KPIs que está monitorizando.


Pero es que este permiso permite al desarrollo acceder a todo lo que hagamos en la página, incluyendo aquellas que requieren un logging, lo que abre la veda a no pocos ataques, como veremos a continuación.

ejemplo de extensión de WebSearch
Ejemplo de una extensión que cambia el motor de búsqueda por otro modificado para afiliados de los cibercriminales

Extensiones fraudulentas que cambian el WebSearch

Así, nos encontramos con las clásicas familias de extensiones que además de hacer (o no) lo que dicen que hacen, modifican la página inicial del navegador por un buscador que se monetiza mediante enlaces de afiliados, de forma que a cualquier búsqueda te intentará redirigir a páginas de plataformas de eCommerce donde tienen afiliados activo, como puede ser AliExpress o Amazon.

No solo eso, sino que también cambiará el motor de búsqueda por este otro, haciendo que a partir de ahora cualquier búsqueda que realices en el navegador te devuelva unos resultados que no están ahí por puro posicionamiento SEO, sino porque a los desarrolladores del malware en cuestión les interesa que estén ahí ya que cobran cada vez que haces click o compras en esa página en cuestión.

Una de estas familias de malware es la conocida como DealPly, que usando extensiones de uso habitual como puede ser las que ayudan a descargar torrents o convertir formatos de documentos en otros, se encargan de modificar el WebSearch del navegador por uno propio que se monetiza tanto por tráfico (análisis de datos revendidos a plataformas publicitarias), como por afiliados.

El market oficial de Chrome prohíbe explícitamente el ofrecer extensiones de WebSearch en la plataforma, por lo que muchas de estas se están instalando en instaladores de terceros, ocultas entre las opciones de instalación de otras aplicaciones ampliamente utilizadas.

ejemplo de extensión de robo de cookies
Ejemplo de una extensión que se hace pasar por el traductor de Google para robo de cookies

Extensiones fraudulentas de robo o modificación de Cookies

Otro negocio muy habitual en el cibercrimen de extensiones es el de “jugar” con las cookies del usuario almacenadas en el navegador, para sacar rédito económico de ello.

Esto se realiza a veces inyectando cookies que en teoría el usuario solo debería tener al visitar unas páginas en cuestión, y cobrando por tanto por ello a las páginas adscritas a plataformas de Ads (si tienes la cookie, se supone que has conseguido que ese usuario visite la página, y por tanto cobras por ello).


La familia de extensiones de AddScript opera bajo esta estrategia. Generalmente ofreciendo extensiones que en teoría ayudan a descargar música y vídeos de Internet, lo cierto es que tienden a utilizar el visionado en segundo plano del navegador para ejecutar sistemáticamente vídeos y música de terceros, y cobrar por los visionados sin que el usuario se percate, reduciendo en el caso de dispositivos con batería drásticamente la autonomía.

Otra familia de extensiones, en este caso las de FB Stealer, están especializadas en robar cookies del ecosistema Facebook, que por supuesto luego revenden a plataformas de terceros para hacer profiling mucho más exacto de los perfiles de sus víctimas.

Esta familia de extensiones suele utilizar troyanos que se instalan a la hora de instalar programas de dudosa fuente, y además de cambiar el motor de búsqueda por otro, roban credenciales de acceso a páginas como Facebook mediante las cookies de sesión, cambiando previamente el sistema de almacenaje de cookies del navegador.

¿Qué podemos hacer para evitar ser víctima de una de estas familias de malware?

Pues principalmente tres cosas, y una petición a toda la industria:

  • Utilizar un servicio de VPN (ES) y mantener el navegador siempre actualizado a la última versión: Algunos de estos ataques se evitarían si nos asegurásemos que sí o sí, toda la información que exponemos va cifrada de punto a punto, que es justo lo que nos ofrece una VPN. Obviamente, hay algunas extensiones donde tampoco nos serviría, pero al menos eliminamos parte del riesgo. Además, el tener el navegador siempre actualizado a la última versión nos asegura que las medidas de seguridad que hayan sido tomadas por el equipo de desarrollo se aplican a nuestra instancia, de nuevo, también minimizando el riesgo.
  • Instalar solo extensiones desde el market oficial del navegador: Fíjate que todas las familias antes mencionadas utilizan instaladores de terceros y páginas de descarga para ofrecerse. Por supuesto, es posible (y acaba pasando) que algún malware se distribuya desde el market oficlal (por lo que comentamos al principio de este artículo), pero está claro que es menos probable que el que se distribuya por cualquier otra página, así que solo con no instalar de fuentes desconocidas, evitamos buena parte del problema.
  • Tener solo las extensiones que realmente necesitamos usar: El problema principal de ese negocio ilegítimo de compraventa de extensiones se debe a que la mayoría de usuarios instalan una extensión, y jamás la desinstalan. Así, hay un parque de dispositivos con extensiones antiguas y obsoletas que es muy jugoso para los nuevos compradores. Por eso, de vez en cuando, conviene revisar qué extensiones tenemos instaladas en el navegador (se hace desde el icono de pieza de puzzle de la barra de navegación) y decidir si hay alguna que realmente no necesitamos, eliminándola.
  • Fijarse en qué permisos pide a la hora de instalarla: Otro tema que la mayoría de usuarios obvian es revisar los permisos que requiere la extensión para funcionar. Y aquí lo importante es aplicar el sentido común, de manera que si está pidiendo muchos permisos para una aplicación que, por ejemplo, es puramente informacional, lo más recomendable es que no la instalemos.

Por último, y aquí hay poco que el usuario pueda hacer, es esperar a que los principales tenedores de extensiones de navegador se pongan las pilas y exijan que la compraventa de estos desarrollos sea pública, forzando a que sí o sí las extensiones se actualicen cada X meses o años para cumplir las nuevas regulaciones más restrictivas en cuanto a permisos, y que por tanto no puedan aprovecharse de desarrollos de hace años para acceder a permisos ya considerados críticos.

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.