L’85% delle estensioni per Chrome distribuite attraverso la piattaforma Web Store ufficiale di Google non dispone di una policy riguardante la privacy. Basterebbe questo a lanciare l’allarme, ma lo studio condotto da Duo Security (ora parte del gruppo Cisco) in collaborazione con CRXcavator si spinge oltre e mette in luce alcuni punti deboli del sistema approntato dal gruppo di Mountain View per ampliare le funzionalità del proprio browser.
Chrome: estensioni e rischi per la privacy
Le componenti aggiuntive, soprattutto se sviluppate e distribuite da realtà di terze parti, possono costituire un rischio per le informazioni dell’utente. Grazie alla loro profonda integrazione con il software sono infatti in grado di manipolare i dati trasmessi durante la navigazione, inclusi quelli per l’accesso ai servizi online. Mediante l’impiego di uno strumento realizzato ad hoc per la ricerca, Duo Security ha scoperto che il 35% circa delle app e dei plugin distribuiti su Web Store è in grado di intercettare tutti dettagli relativi all’attività online. Ancora, quasi il 32% fa leva su librerie esterne per le quali sono note vulnerabilità e il 77% non dispone di un sito per il supporto.
Lo studio evidenzia inoltre come gli utenti, in considerazione della fiducia riposta nella piattaforma di Google, solitamente pongono un’attenzione non sufficiente quando si tratta di installare un’estensione per il browser, senza badare troppo alle autorizzazioni concesse. Citiamo quanto avvenuto nell’ottobre scorso, quando un numero consistente di sviluppatori impegnati nella realizzazione degli elementi distribuiti su Chrome Web Store è stato preso di mira da una campagna di phishing attuata al fine di rubarne le credenziali.
Gli sforzi finora messi in campo da bigG potrebbero dunque non essere sufficienti a garantire un adeguato livello di sicurezza. Tra questi ricordiamo l’impossibilità di aggiungere componenti extra da fonti esterne a Chrome Web Store. Il consiglio, come sempre, è quello di scaricare e installare solo estensioni provenienti da sviluppatori conosciuti. La ricerca è stata condotta il mese scorso prendendo in esame un totale pari a 120.463 elementi distribuiti attraverso la piattaforma di Mountain View.