Preámbulo : Vivo en Rusia, donde algunos sitios web (linkedin y g.) Están bloqueados por el gobierno (Roskomnadzor). Así que yo y muchos ciudadanos utilizamos populares extensiones de navegador gratuitas (y aplicaciones móviles de las mismas marcas) como Hola o FriGate .
Por lo que puedo entender, los complementos del navegador utilizan webRequest API (de WebExtensions API) y las aplicaciones móviles simplemente instalan el perfil VPN en el dispositivo.
Veo dos posibles vulnerabilidades:
- Lectura de todo el tráfico (MITM)
- Leyendo DOM (solo se aplica a las extensiones del navegador). La extensión puede leer la entrada de todos los formularios y robar sus credenciales.
No hay nada que pueda hacer con la lectura de DOM, pero creo que es bastante seguro ingresar su contraseña con estas extensiones.
Pero temo el ataque MITM. ¿Hola, por ejemplo, puede leer el contenido de las conexiones con seguridad TLS tanto en la edición móvil como en la web? ¿La extensión del navegador crea un túnel con algún protocolo L2 punto a punto o redirige las solicitudes http? ¿Quién está validando los certificados: navegador o extensión?