Las extensiones de Google Chrome siguen representando un riesgo de seguridad, ya que Manifest V3 no logra evitar el robo de datos ni la explotación de malware.
Las empresas deben considerar la adopción de medidas de seguridad más robustas para los navegadores.
Las extensiones de navegador han sido una herramienta útil para los usuarios, mejorando su productividad y facilitando diversas tareas. Sin embargo, también se han convertido en un objetivo atractivo para actores maliciosos que buscan explotar vulnerabilidades, afectando tanto a usuarios individuales como a empresas. A pesar de los esfuerzos por mejorar la seguridad, muchas de estas extensiones han encontrado formas de aprovechar las brechas dentro del último marco de extensiones de Google, conocido como Manifest V3 (MV3).
Recientes investigaciones han puesto de manifiesto cómo las extensiones maliciosas pueden eludir medidas de seguridad clave, exponiendo a millones de usuarios a riesgos como el robo de datos, malware y acceso no autorizado a información sensible. Las extensiones de navegador han evolucionado hacia amenazas mucho más serias. Google ha enfrentado históricamente problemas con extensiones en Chrome. En junio de 2023, la compañía tuvo que eliminar manualmente 32 extensiones vulnerables, que habían sido instaladas 72 millones de veces antes de su eliminación.
El anterior marco de extensiones, Manifest Version 2 (MV2), era problemático debido a que otorgaba permisos excesivos a las extensiones y permitía la inyección de scripts sin el conocimiento del usuario, facilitando así a los atacantes el robo de información y la introducción de malware. En un intento por solucionar estas vulnerabilidades, Google presentó Manifest V3, que buscaba mejorar la seguridad limitando permisos y requiriendo que las extensiones declaren sus scripts de antemano. Sin embargo, la investigación sugiere que MV3 no ha logrado abordar de manera efectiva áreas críticas.
Las extensiones maliciosas diseñadas bajo MV3 son capaces de eludir características de seguridad y pueden robar transmisiones de video en vivo desde plataformas de colaboración como Google Meet y Zoom Web sin requerir permisos especiales. También pueden agregar colaboradores no autorizados a repositorios privados de GitHub, y redirigir a los usuarios a páginas de phishing disfrazadas de administradores de contraseñas. Además, estas extensiones pueden acceder al historial de navegación, cookies, marcadores e historial de descargas, similar a lo que hacían sus predecesoras bajo MV2, al insertar un falso aviso de actualización de software que engaña a los usuarios para que descarguen el malware.
Una vez que instala una extensión maliciosa, resulta difícil para los individuos y empresas detectar las actividades realizadas por estas, dejándolos expuestos. Herramientas de seguridad como protección de endpoints, Secure Access Service Edge (SASE) y Secure Web Gateways (SWG) no pueden evaluar dinámicamente las extensiones del navegador en términos de riesgos potenciales.
Para enfrentar estos desafíos, se han desarrollado diversas soluciones enfocadas en mejorar la seguridad de las extensiones del navegador. Una de estas propuestas incluye políticas ajustadas que permiten a los administradores decidir qué extensiones bloquear o permitir, basándose en factores como permisos, historial de actualizaciones, reseñas y calificaciones de usuarios. Esta solución es capaz de bloquear solicitudes de red realizadas por extensiones en tiempo real, utilizando políticas, tendencias de aprendizaje automático y análisis heurísticos. Además, se están realizando pruebas con análisis dinámico de extensiones de Chrome mediante un navegador Chromium modificado en servidores en la nube, lo que brinda una visión más profunda sobre el comportamiento de extensiones potencialmente dañinas.
Expertos en seguridad han destacado que las extensiones de navegador representan una zona ciega en muchas soluciones de protección. Sin un análisis dinámico y la capacidad de aplicar políticas estrictas, será imposible identificar y bloquear estos ataques. A pesar de las buenas intenciones detrás de Google MV3, todavía está lejos de proporcionar la seguridad necesaria tanto en el diseño como en la fase de implementación.
