¿Pueden modificar los resultados de mi página e implementar maliciosamente?
Cross-Site Scripting robando, por ejemplo, tarjetas de crédito o sociales
números de seguridad?
Sí. Estas extensiones maliciosas siempre se han desarrollado. Creo que uno de los mejores ejemplos que podemos mencionar es el notorio ZombieBrowserPack que es un proyecto opensource desarrollado primero como un POC por Zoltan Balazs y que se dirige a varios de los navegadores más utilizados (Chrome, Firefox e IE). Este complemento se puede manipular de manera remota para robar credenciales de autenticación e incluso omitir autenticación de dos factores mecanismos como los implementados por Yahoo y Google, o simplemente secuestran su cuenta de Facebook.
¿Pueden acceder a la información más allá del navegador (archivos, lista
aplicaciones, información de configuración de red?
Sí . La misma extensión que acabamos de mencionar es capaz de tomar capturas de pantalla con la cámara web de su máquina, y no solo puede usarse para actualizar sus archivos, sino también para descargar otros archivos maliciosos para ejecutarlos en la víctima de la máquina.
¿Pueden transmitir información sobre mi navegación por Internet?
comportamiento de vuelta a sus desarrolladores, incluso cuando no interactúo con
ellos?
Sí . En realidad, este complemento se comporta como un proxy HTTP que permite que un atacante se comunique con un servidor en la red interna de la víctima sin que la víctima deba realizar ninguna interacción.
Al principio, los atacantes utilizaban dichas extensiones para el fraude de clics, por ejemplo, secuestrando consultas de búsqueda; pero la breve y muy rica historia de los programas web nos enseña una larga lista de extensiones desarrolladas para cumplir objetivos específicos. Solo para darle un ejemplo :
A través del análisis de más de 48,000 extensiones de Google
En la tienda web de Chrome, el grupo de investigadores pudo detectar 130
extensiones maliciosas, incluida una con 5,5 millones de usuarios afectados.
Hoy en día, no solo necesita usar una extensión maliciosa para ser víctima de uno de los escenarios que mencionó, sino que una simple visita a una página web comprometida podría llevar a un drive-by download attack aprovechando las vulnerabilidades de su navegador, que son más frecuentes en las extensiones que instala, lo que lleva a spyware y adware (en los casos menos dramáticos) a infecte su máquina como sucedió con los visitantes de la página de inicio de Amnistía Internacional en 2011 de que muchos usuarios se convirtieron en víctimas.
Por lo tanto, antes de tomar la decisión de instalar cualquier complemento en su navegador, debe tener cuidado al verificar los permisos solicitados por sus desarrolladores, y cuando visite una página web le solicite un mensaje para instalar un complemento para poder ver su el contenido entonces no se apresure a seguir las instrucciones (por ejemplo, si ya tiene instalado el complemento Flash y la página le pide que lo instale, entonces es probable que este sea un ataque de descarga que requiera la interacción del usuario). Y como práctica general de seguridad, nunca instale un complemento a menos que sea útil e instale el menor número posible de ellos y verifique si puede el comportamiento y el código fuente de sus extensiones de vez en cuando, como se hace here .
