Usuários do navegador Google Chrome têm uma chance em cem de ter instalado uma extensão maliciosa sem querer. Pesquisadores da empresa de segurança Q Continuum relataram que 287 extensões estão roubando o histórico de navegação de aproximadamente 37,4 milhões de internautas.
Os add-ons maliciosos são vendidos como adblockers ou assistentes de pesquisa, mas, furtivamente, coletam seus dados privados e os fornecem a corporações e instituições que vendem informações pessoais. De acordo com os especialistas, não se trata de um vazamento menor, mas sim de uma operação de coleta em massa com o objetivo de transformar o histórico dos usuários em produto.
Marketplace de privacidade
Para detectar as extensões maliciosas, a equipe montou uma armadilha com um proxy man-in-the-middle, um checkpoint que monitora os dados saindo de computadores. Com um Docker simulando navegação normal, foram escaneados 32.000 aplicativos na Chrome Web Store. Muitos deles foram vistos enviando dados em texto bruto e ofuscando sua atividade, codificando o histórico em encriptação Base64 ou AES-256.
O principal suspeito da operação é o grupo SimilarWeb, ligado a extensões que afetam até 10,1 milhões de usuários. Alguns outros atores maliciosos incluem Alibaba Group, Byte Dance, Semrush e Big Star Labs. Cerca de 20 milhões de instalações, no entanto, não puderam ser ligadas a uma companhia específica, com o restante ligado às empresas já mencionadas.
Algumas ferramentas de boa reputação foram identificadas, como a Stylish, para customização, Ad Blocker, Poper Blocker, CrxMouse, Block Sit e SimilarWeb, de verificação de SEO e tráfego virtual. Os pesquisadores ligaram a atividade à tendência de venda de dados a terceiros por parte de ferramentas populares, se aproveitando, por vezes, de exceções nas políticas de dados para permitir a coleta das informações.
Mesmo quando anonimizados, dados de pesquisa e IDs de usuário são detalhados o suficiente para revelarem sua identidade. Brechas na transparência e exceções no sistema legal acabam permitindo que o ecossistema de extensões aja dessa maneira, segundo John Carberry, da Xcape Inc., informou ao site Hackread.com.
Ele lembra que, caso você não esteja pagando por um produto com dinheiro, está pagando com dados: você é um produto, e o que é “grátis” geralmente custa sua privacidade.