Chrome es una de las aplicaciones más populares de Google y el navegador de Internet más utilizado del mundo. Pero eso no necesariamente lo hace más seguro de usar. Un nuevo informe indica que Google Chrome puede haber estado espiando y robando datos confidenciales, y todo gracias a una de las funciones de Chrome que no fue supervisada adecuadamente. Chrome permite instalar todo tipo de extensiones, aunque algunas de ellas puedan contener código malicioso que permitiría a los atacantes interceptar datos de navegación. Las propias funciones de seguridad y supervisión de Google deberían evitar tales ataques a los usuarios en general en teoría. En la práctica, los investigadores han descubierto más de 70 complementos maliciosos que se instalaron más de 32 millones de veces.
Google eliminó los complementos el mes pasado de Chrome Web Store una vez que Awake Security les informó sobre los problemas. Pero eso no puede ser lo suficientemente bueno para los usuarios que realmente se convencieron de instalar estas aplicaciones maliciosas de Chrome.
«Cuando se nos alerta de extensiones en la tienda web que violan nuestras políticas, tomamos medidas y usamos esos incidentes como material de capacitación para mejorar nuestros análisis automáticos y manuales», dijo a Reuters el portavoz de Google Scott Westover.
Esta no es la primera vez que se descubren complementos maliciosos en Chrome Store. Google dijo en 2018 que mejoraría la seguridad y aumentaría la revisión humana, pero eso no impidió que el software espía que Awake Security se les escapara.
En febrero, otros investigadores descubrieron una campaña de Chrome maliciosa diferente que robó datos de 1,7 millones de usuarios. En ese momento, Google encontró 500 extensiones fraudulentas.
Reuters señala que se suponía que la mayoría de las extensiones gratuitas advertían a los usuarios sobre sitios web cuestionables, o les permitían convertir archivos de un formato a otro. Pero lo que realmente hicieron fue transferir los datos del historial de navegación, incluidas las credenciales a las herramientas comerciales internas.
Los complementos maliciosos fueron diseñados para evitar la detección de compañías antivirus y software de seguridad. Además de eso, fueron lo suficientemente inteligentes como para verificar qué tipo de conexión estaba en uso. Los complementos se activarían para robar datos si alguien usara el navegador en una computadora doméstica y lo enviarían a una serie de sitios web para transmitir la información interceptada. Si alguien usa una red corporativa en lugar de una red doméstica, los complementos se comportarían de manera diferente. No enviarían información confidencial ni se conectarían a versiones maliciosas de sitios web.
«Esto muestra cómo los atacantes pueden usar métodos extremadamente simples para ocultar, en este caso, miles de dominios maliciosos», dijo el cofundador y científico jefe de Awake, Golomb. Agregó que, según la cantidad de descargas, esta es la campaña maliciosa de mayor alcance dirigida a Chrome hasta la fecha.
No está claro quién estuvo detrás de los sofisticados ataques, ya que los desarrolladores proporcionaron información de contacto falsa a Google al enviar las extensiones.
Los piratas informáticos utilizaron más de 15,000 dominios, todos comprados al registrador israelí Galcomm. Los investigadores creen que Galcomm debería haber sabido lo que estaba sucediendo, pero el propietario de la compañía, Moshe Fogel, dijo a Reuters que la compañía no hizo nada malo y que no está involucrado de ninguna manera.
Fogel también dijo que no tenía constancia de las investigaciones que Awake realizó en abril y mayo. Reuters informa que le envió la lista de dominios sospechosos tres veces, pero el ejecutivo nunca ofreció «una respuesta sustantiva». Galcomm tiene un poco más de 26,000 dominios registrados en total, incluidos más de 15,000 dominios maliciosos.