Due nuovi rapporti rivelano opinioni contrastanti sulla sicurezza delle estensioni del browser Chrome. Google afferma che meno dell’1% di tutte le installazioni include malware, mentre i ricercatori universitari affermano che 280 milioni di utenti hanno installato estensioni con malware in un periodo di tre anni. Entrambe le cifre sollevano dubbi sulla sicurezza effettiva.
Secondo Google, sul Chrome Web Store sono disponibili più di 250.000 estensioni. La società sostiene che “meno dell’1% di tutte le installazioni dal Chrome Web Store ha incluso malware”. Tuttavia, questo dato non sembra rassicurare pienamente. Nonostante il basso tasso di malware dichiarato, la grande quantità di estensioni disponibili lascia spazio a potenziali rischi.
Centinaia di milioni di malware
Un recente studio condotto da Sheryl Hsu, Manda Tran e Aurore Fass – ricercatori dell’Università di Stanford e del CISPA Helmholtz Center for Information Security – evidenzia la prevalenza preoccupante delle estensioni per Chrome con rilevanza per la sicurezza. Secondo lo studio, oltre 346 milioni di utenti hanno installato estensioni di questo tipo tra luglio 2020 e febbraio 2023. Anche sottraendo 63 milioni di violazioni delle politiche e tre milioni di codice vulnerabile, i ricercatori stimano che ci siano state comunque 280 milioni di installazioni di estensioni Chrome contenenti malware.
È importante notare che la ricerca copre le violazioni delle politiche del Chrome Web Store, il codice vulnerabile e le estensioni contenenti malware secondo la definizione SNE. Le estensioni spesso richiedono permessi avanzati che possono influenzare la privacy e la sicurezza degli utenti, aumentando la superficie d’attacco per eventuali estensioni malevole.
Lo studio ha raccolto i permessi analizzando il file manifest.json di ciascuna estensione, con i permessi manifest V3 divisi in “permessi (API come storage o cookies) e permessi host (URL o pattern di URL a cui l’estensione vuole fare richieste)”, combinati con il precedente manifest V2. Non sorprende che le estensioni malevole tendano a richiedere più permessi rispetto a quelle benigne. “Più permessi ha un’estensione, maggiore è la superficie d’attacco”, ha concluso lo studio.
Inoltre, lo studio ha rilevato che le estensioni contenenti malware erano disponibili sul Chrome Web Store per una media di 380 giorni. Un caso ha visto un’estensione rimanere disponibile da dicembre 2013 fino a giugno 2022, quando è stata rimossa per contenere malware.
Come rimanere al sicuro con le estensioni di Chrome
Un post del 20 giugno sul blog di sicurezza di Google, a cura di Benjamin Ackerman, Anunoy Ghosh e David Warren del team di sicurezza di Chrome, ammette che “come qualsiasi software, anche le estensioni possono introdurre rischi”. Tuttavia, illustra come un team dedicato alla sicurezza si impegna a proteggere gli utenti di Chrome riguardo alle estensioni. Google afferma che questo team fornisce agli utenti un riepilogo personalizzato delle estensioni installate, le esamina tutte prima della pubblicazione sul Chrome Web Store e le monitora successivamente.
Un esempio di questo è il pannello di controllo della sicurezza nella pagina delle estensioni, che avvisa gli utenti di eventuali estensioni installate che potrebbero presentare un rischio. Google dichiara che “se non vedi un pannello di avviso, probabilmente non hai estensioni di cui preoccuparti”, anche se lo studio di Stanford mette in discussione questa affermazione.
Il processo automatico di Google utilizza sistemi di machine learning per esaminare tutte le estensioni prima della pubblicazione sul Web Store, seguito da una revisione umana delle immagini, descrizioni e politiche pubbliche di ciascuna estensione. Google ha dichiarato quanto segue:
Questo processo elimina la stragrande maggioranza delle estensioni malevole prima ancora che vengano pubblicate nel 2024, meno dell’1% di tutte le installazioni dal Chrome Web Store ha incluso malware. Siamo orgogliosi di questo record, ma alcune estensioni malevole riescono ancora a passare, motivo per cui monitoriamo anche le estensioni pubblicate.
Google raccomanda agli utenti di Chrome di seguire quattro suggerimenti per minimizzare il rischio di estensioni malevole:
- Rivedere le nuove estensioni prima di installarle – leggere le informazioni sull’estensione e sullo sviluppatore.
- Disinstallare le estensioni non più utilizzate.
- Limitare i siti su cui un’estensione ha il permesso di funzionare.
- Abilitare la modalità di Protezione Avanzata di Chrome – questa modalità offre protezioni contro phishing e malware, oltre a funzionalità per proteggere dalle estensioni potenzialmente dannose.