Empresas estão comprando extensões populares do Chrome para depois modificá-las e injetar propagandas durante a navegação, além de redirecionar os resultados de pesquisas. O golpe se aproveita da credibilidade das extensões disponíveis na Chrome Store e do recurso de atualização automática, uma vez que esses addons já estão disponíveis na loja e as modificações são atualizadas automaticamente pelo serviço de atualizações do Google.

Amit Agarwal, desenvolvedor da extensão “Add to Feedly“, publicou em seu blog esta semana que, após receber algumas propostas por e-mail, ele decidiu vender a extensão e transferiu a propriedade do software para outra conta do Google.

Um mês depois, os novos proprietários lançaram a primeira atualização, que modificou o programa passando a injetar propagandas em todos os sites e redirecionando os resultados de pesquisas. O comprador na verdade não queria a extensão, mas sim usá-la como vetor de ataque.

Na ocasião da venda, o Feedly contava com mais de 30 mil usuários e todos eles receberam a atualização.

A extensão “Tweet This Page” também foi afetada pelo mesmo esquema e há relatos na Chrome Web Store de que outras extensões também passaram a apresentar o mesmo comportamento.

O esquema também inclui uma demora em atualizar a extensão com as modificações maliciosas, o que faz com que até usuários mais experientes tenham dificuldades em identificar a causa do problema. O serviço de atualizações do Google não notifica quando uma extensão é atualizada e não solicita autorização para atualizá-la. Não há opções para desativar as atualizações das extensões. Os antivirus não detectam esse tipo de código como sendo malicioso, até porque o Google permite que as extensões injetem propagandas, desde que elas não interfiram na navegação e que o usuário seja claramente informado qual aplicativo irá exibi-las.

A sincronização do navegador com a conta do Google dificulta a remoção da extensão, uma vez que mesmo desinstalando o Chrome ou até reinstalando o sistema operacional, ao reinstalar o navegador e logar na conta do Google, a extensão estará de volta.

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

1 comentário

  1. Wesley Ornelas 13/04/2014 às 14:06

    Nunca fui fã de extensões, só uso em ultimo caso.

    Curtir

    Responder

Deixe uma resposta para Wesley Ornelas Cancelar resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.