Empresas estão comprando extensões populares do Chrome para depois modificá-las e injetar propagandas durante a navegação, além de redirecionar os resultados de pesquisas. O golpe se aproveita da credibilidade das extensões disponíveis na Chrome Store e do recurso de atualização automática, uma vez que esses addons já estão disponíveis na loja e as modificações são atualizadas automaticamente pelo serviço de atualizações do Google.

Amit Agarwal, desenvolvedor da extensão “Add to Feedly“, publicou em seu blog esta semana que, após receber algumas propostas por e-mail, ele decidiu vender a extensão e transferiu a propriedade do software para outra conta do Google.

Um mês depois, os novos proprietários lançaram a primeira atualização, que modificou o programa passando a injetar propagandas em todos os sites e redirecionando os resultados de pesquisas. O comprador na verdade não queria a extensão, mas sim usá-la como vetor de ataque.

Na ocasião da venda, o Feedly contava com mais de 30 mil usuários e todos eles receberam a atualização.

A extensão “Tweet This Page” também foi afetada pelo mesmo esquema e há relatos na Chrome Web Store de que outras extensões também passaram a apresentar o mesmo comportamento.

O esquema também inclui uma demora em atualizar a extensão com as modificações maliciosas, o que faz com que até usuários mais experientes tenham dificuldades em identificar a causa do problema. O serviço de atualizações do Google não notifica quando uma extensão é atualizada e não solicita autorização para atualizá-la. Não há opções para desativar as atualizações das extensões. Os antivirus não detectam esse tipo de código como sendo malicioso, até porque o Google permite que as extensões injetem propagandas, desde que elas não interfiram na navegação e que o usuário seja claramente informado qual aplicativo irá exibi-las.

A sincronização do navegador com a conta do Google dificulta a remoção da extensão, uma vez que mesmo desinstalando o Chrome ou até reinstalando o sistema operacional, ao reinstalar o navegador e logar na conta do Google, a extensão estará de volta.

Anúncios

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

One Comment

  1. Wesley Ornelas 13/04/2014 às 14:06

    Nunca fui fã de extensões, só uso em ultimo caso.

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s