Scoperte 57 estensioni di Chrome con codice di tracciamento nascosto: la lista completa

Ben 57 estensioni per Google Chrome, con un bacino di utenza complessivo di circa 6 milioni di persone, sono state scoperte da Secure Annex e identificate come portatrici di codice di tracciamento nascosto. Le estensioni in questione presentano caratteristiche particolarmente rischiose, tra cui la capacità di monitorare il comportamento di navigazione degli utenti, accedere ai cookie per vari domini e potenzialmente eseguire script remoti.

La particolarità di queste estensioni risiede nella loro natura "nascosta": non appaiono nelle ricerche di Chrome Web Store né vengono indicizzate dai motori di ricerca. L'accesso e l'installazione sono possibili esclusivamente se l'utente dispone dell'URL diretto. Generalmente, estensioni con queste caratteristiche rappresentano strumenti aziendali interni o componenti aggiuntivi ancora in fase di sviluppo, ma potrebbero essere sfruttate da attori malevoli per eludere i sistemi di rilevamento, promuovendole aggressivamente attraverso annunci pubblicitari e siti dannosi.

Scoperte 57 estensioni per Google Chrome con codice di tracciamento nascosto

Il merito dell'individuazione di queste estensioni va al ricercatore di Secure Annex, John Tuckner, che ha inizialmente scoperto 35 estensioni dopo aver esaminato un componente sospetto denominato 'Fire Shield Extension Protection'. L'estensione presentava un codice fortemente offuscato e conteneva callback a un'API per l'invio di informazioni raccolte dal browser. Attraverso un dominio chiamato "unknow.com" presente nell'estensione, Tuckner ha identificato ulteriori componenti aggiuntivi contenenti lo stesso dominio, che dichiaravano di fornire servizi di blocco degli annunci o protezione della privacy. Tuttavia, tutte queste estensioni includono permessi eccessivamente ampi che consentono loro di eseguire diverse azioni potenzialmente dannose.

Le capacità di queste estensioni risultano particolarmente invasive, includendo l'accesso ai cookie (compresi header sensibili come 'Authorization'), il monitoraggio del comportamento di navigazione dell'utente, la modifica dei provider di ricerca (e dei risultati), l'iniezione e l'esecuzione di script remoti sulle pagine visitate tramite iframe, e l'attivazione remota di tracciamento avanzato. Sebbene Tuckner non abbia rilevato estensioni che rubano direttamente password o cookie degli utenti, le funzionalità eccessivamente rischiose, il codice pesantemente offuscato e la logica nascosta sono stati sufficienti per classificarle come pericolose e, potenzialmente, come spyware.

Recentemente, il ricercatore ha aggiunto altre 22 estensioni che si ritiene appartengano alla stessa operazione, portando il totale a 57 estensioni utilizzate da 6 milioni di persone. Alcune delle estensioni aggiunte di recente sono anche pubbliche, a differenza della maggior parte che rimane non elencata. L'elenco completo delle estensioni sospette è disponibile online, ma tra quelle con il maggior numero di download figurano "Cuponomia – Coupon and Cashback" (700.000 utenti, pubblica), "Fire Shield Extension Protection" (300.000 utenti, non elencata), "Total Safety for Chrome" (300.000 utenti, non elencata) e "Protecto for Chrome" (200.000 utenti, non elencata).

Se avete installato una di queste estensioni, è consigliabile rimuoverla immediatamente e, per precauzione, reimpostare le password degli account online. Google ha dichiarato di essere a conoscenza del rapporto di Tuckner e di star indagando sulle estensioni in questione.