O cuidado na instalação de extensões do browser deve ser a mesma que se tem quando se instala qualquer outra app ou programa, e este é um exemplo extremo que relembra isso mesmo.
Apesar de browsers como o Chrome terem aplicado restrições naquilo que as extensões podem fazer (por exemplo, dificultando a tarefa dos adblockers), é assustador ver tudo aquilo a que continuam a ter acesso, de forma directa ou indirecta. Neste caso, temos um exemplo hipotético de como se poderia criar uma extensão maliciosa que pudesse roubar o máximo de dados dos utilizadores, incluindo todos os cookies do browser, tudo aquilo que escreverem no teclado, as coisas que copiarem para o clipboard, e enviá-las para um destino externo.
Há alguns aspectos caricatos, como o facto do Chrome nem sequer apresentar a lista de permissões pedida pela extensão de forma visualmente perceptível. Neste caso, a extensão está a pedir todas as permissões possíveis, mas o Chrome limita-se a apresentar as cinco primeiras, sem indicação clara de que se trata de um lista que se prolonga muito para além disso.
É certo que o utilizador terá que dar estas permissões, mas mesmo que fossem visíveis, muitas delas poderiam ser facilmente justificadas pelo suposto propósito (falso) da extensão. Da mesma forma que uma app maliciosa pode apresentar-se como app de aplicar efeitos em fotos, só para justificar que o utilizador lhe dê permissão de acesso às mesmas.
Há ainda outras técnicas curiosas que são sugeridas. Há operações que só são possíveis quando se tem a janela da extensão aberta no browser. De forma a fazê-lo de forma dissimulada, sem que o utilizador note tabs a abrirem e fecharem sem motivo aparente, esta extensão tem a capacidade de procurar uma tab que seja pouco utilizada, e reaproveitá-la de forma camuflada, usando o seu icon e nome, de modo a que seja indistinguível da tab original. Assim, pode fazer o processamento que tinha que fazer, e depois voltar à página web em questão, tudo sem que o utilizador se aperceba destas "movimentações" que estão a acontecer no seu browser.
Pelo lado positivo, uma extensão tão flagrante como esta nunca seria aprovada para entrar na Chrome Store, mas isso não invalida que algumas extensões possam usar técnicas mais subtis para conseguir propósitos idênticos. A isto acresce o risco de extensões populares serem compradas por empresas que adicionem tracking adicional.
Por isso mesmo, há muito que recomendamos que:
- Apenas instalem extensões absolutamente necessárias
- Limitem o funcionamento das mesmas apenas quando necessário
Desta forma já se restringirá, em grande parte, o potencial risco de abuso das mesmas.
Sem comentários:
Enviar um comentário (problemas a comentar?)