O risco de obtermos extensões para o Chrome ‘infetadas’ malware na Chrome Web Store é maior do que a Google admite e as declarações recentes de especialistas da empresa acabam mesmo por sugerir essa vulnerabilidade.
Depois de três membros da Chrome Security Team se terem mostrado orgulhosos, no final da semana passada, por “menos de um por cento de todas as instalações a partir da Chrome Web Store incluírem malware em 2024”, já esta semana a Google garantiu que a sua avaliação das extensões do Chrome deteta a maioria do código malicioso, apesar de “tal como qualquer software, as extensões também podem introduzir riscos”.
Estudo desmente Google
Porque veio a público a Google, no espaço de uma semana, justificar por duas vezes a segurança das extensões para o Chrome que guarda na sua loja online?
De acordo com o The Register, a resposta poderá estar num novo estudo que indica um cenário mais negro: três investigadores associados à Universidade de Stanford, EUA, e ao Centro Helmholtz CISPA para a Segurança da Informação, na Alemanha, publicaram recentemente um artigo sobre dados recentes da Chrome Web Store, sugerindo exatamente que o risco que as extensões para o Google representam "é muito maior do que o Google admite”.
O estudo, denominado "What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions" deverá ser apresentado no próximo dia 24 de julho durante a ACM Asia Conference on Computer and Communications Security (ASIA CCS ’24).
Milhões de utilizadores afetados
“Algumas extensões maliciosas acabam, na verdade, por ser muitas” indica o The Register, tendo como base as informações dos investigadores Sheryl Hsu, Manda Tran e Aurore Fass. Estes especialistas consideram que as chamadas Security-Noteworthy Extensions (SNE) continuam a ser um problema significativo na Chrome Web Store:
“Descobrimos que mais de 346 milhões de utilizadores instalaram uma SNE nos últimos três anos - 280 milhões de malware, 63 milhões de violações de política e três milhões de extensões vulneráveis” referem os especialistas, acrescentando que estas extensões podem permanecer Chrome Web Store durante anos.
Der acordo com o estudo, as extensões maliciosas ficam na plataforma da Google uma média de 380 dias se tiverem malware e 1.248 dias “se simplesmente tiverem código vulnerável”. E há que contar com aquelas que permanecem durante anos, o que torna a avaliação minuciosa dessas extensões e a notificação dos utilizadores afetados “ainda mais críticas”.
A solução está na Google, mas não só...
O estudo dos três investigadores inclui um leque de sugestões para a Google mitigar os riscos detetados, enquanto empresa responsável pela Chrome Web Store mas que abrangem também os developers e os próprios utilizadores.
Em termos básicos, a Google deverá reforçar a monitorização das extensões existentes e apostar em sistemas de deteção automática, deverá também alertar os developers para atualizarem as respetivas extensões e os utilizadores a dar feedback sempre detetarem alguma anomalia.
Sobre estas sugestões, na passada sexta-feira um porta-voz do Google afirmou ao The Register:
“Agradecemos o trabalho da comunidade de investigadores e aceitamos sempre as suas sugestões sobre formas de manter a segurança da Chrome Web Store. Concordamos que as extensões sem manutenção costumam ser menos seguras, o que é um dos motivos pelos quais estamos a tomar medidas para remover o suporte para extensões desatualizadas do Manifest V2, através do Manifest V3”.
O representante da Google afirmou ainda que a empresa também lançou recentemente “novas ferramentas que consciecializam ainda mais os utilizadores sobre extensões potencialmente arriscadas”, acrescentando que a empresa “vai continuar a investir nesta área”.