¿Cómo puedo verificar si una extensión / complemento consiste en código de malware? ¿Es fácil detectar si recopila datos confidenciales (como software espía), al registrar las pulsaciones de teclado, etc.? ¿Puede AV reconocer la extensión de malware como "mala"? ¿Puede una extensión explotar las vulnerabilidades del navegador?
Responderé a estas por separado:
¿Cómo puedo verificar si la extensión / complemento consta de código de malware?
Por lo general, los complementos del navegador existen como un archivo en algún lugar, dentro de los archivos de la aplicación de su navegador. Puede averiguar dónde haciendo una búsqueda rápida en Google. Una vez que haya encontrado el archivo, cárguelo en algún lugar como VirusTotal. También puede extraer los archivos (la mayoría de los complementos solo se renombran a archivos .zip o .tar) y revisar manualmente su código. Ciertos navegadores también cargan archivos DLL como "objetos de ayuda del navegador" (BHO), que pueden contener código malicioso. Estos se pueden encontrar y escanear de la misma manera, y Autoruns le dirá qué BHO están cargados en IE.
¿Es fácil detectar si recopila datos confidenciales (como spyware), al registrar pulsaciones de teclas, etc.?
Depende del malware. Los registradores de teclas generalmente enganchan API relacionadas con el procesamiento de pulsaciones de teclas, que la mayoría de los programas de AV pueden detectar o prevenir. Sin embargo, hay otros métodos, por lo que no es posible detectar todos los mecanismos de registro. Spyware casi siempre llama a casa en algún momento, por lo que puede estar atento a las conexiones de red inusuales en sus registros de firewall.
¿Puede AV reconocer la extensión de malware como "mala"?
La mayoría puede, sí. Algunos solo procesarán ejecutables (exe, dll, sys, etc.) en escaneos estándar, pero puede corregirlos ejecutando un escaneo profundo o completo. Los escáneres en acceso deben seleccionar el malware conocido en cualquier archivo en el momento de su acceso.
¿Puede la extensión explotar las vulnerabilidades del navegador?
Sí, pero a veces ni siquiera es necesario. En los navegadores más antiguos (y crappier), un complemento ya es un código ejecutable nativo que se ejecuta con los mismos privilegios que el navegador. Los navegadores modernos tienden a implementar sus complementos en un entorno de secuencias de comandos de espacio aislado. Puede haber vulnerabilidades en esos motores de secuencias de comandos que permiten que el complemento de malware se escape y se incremente.
Lea otras preguntas en las etiquetas malware browser-extensions