YOOTA

Estensioni browser trasformate in spyware: 4 milioni di utenti spiati per anni

Estensioni browser trasformate in spyware: 4 milioni di utenti spiati per anni

in

Oltre 4 milioni di utenti Chrome e Edge sono stati spiati da estensioni che Google e Microsoft avevano certificato come sicure. Una situazione imbarazzante per entrambe le aziende, emersa da un’indagine dei ricercatori di Koi Security.

Il gruppo responsabile, ribattezzato “ShadyPanda” dai ricercatori, ha operato indisturbato dal 2018 fino ad oggi con una strategia tanto semplice quanto efficace: creare estensioni legittime, farle crescere nel tempo, ottenere badge di verifica e milioni di installazioni, e poi trasformarle in strumenti di sorveglianza con un semplice aggiornamento.

Il trucco della fiducia

La parte più inquietante riguarda Clean Master, un’estensione per la pulizia del browser con oltre 200.000 installazioni. Ha funzionato normalmente per cinque anni, guadagnandosi addirittura lo status di “Featured” e “Verified” da parte di Google. Poi, a metà 2024, un aggiornamento silenzioso l’ha trasformata in una backdoor.

Da quel momento, ogni ora l’estensione scaricava ed eseguiva codice da server esterni. In pratica, chi l’ha creata poteva farle fare quello che voleva.

4 milioni di utenti ancora a rischio

Ma Clean Master è solo la punta dell’iceberg. Come riporta Koi Security, lo stesso sviluppatore ha pubblicato altre cinque estensioni su Microsoft Edge, tra cui WeTab con 3 milioni di installazioni. Queste raccolgono in tempo reale ogni URL visitato, ogni ricerca effettuata, persino i movimenti del mouse, inviando tutto a server cinesi.

Il problema più grosso? Al momento della scrittura sono ancora disponibili sullo store di Edge. Chi le ha installate continua a essere monitorato, e gli sviluppatori potrebbero trasformarle in qualcosa di peggio in qualsiasi momento.

Il vero problema è il sistema

ShadyPanda ha dimostrato una falla strutturale nel modo in cui funzionano gli store di estensioni: i controlli avvengono solo al momento della pubblicazione. Dopo l’approvazione iniziale, nessuno verifica cosa fanno davvero gli aggiornamenti successivi.

Il meccanismo di auto-aggiornamento, pensato per tenere tutto al sicuro, si è trasformato nel vettore d’attacco perfetto. Niente phishing, niente trucchi elaborati: basta aspettare, costruirsi una reputazione e colpire quando ci sono abbastanza vittime.

FONTE koi.ai
Fediverse reactions
Spargi la voce

Fiuta le novità (seguimi 🐾)
Mastodon Telegram Bluesky
YOOTA
YOOTA
@yoota@yoota.it

Fiuto per le tech news

160 articoli
22 follower
  1. Avatar Fabio
    Fabio

    No ma il problema sono gli store alternativi, usando gli store ufficiali si può stare tranquilli.

    Rispondi

Lascia un commento

Puoi lasciare solo commenti senza iscrizione che verranno preventivamente moderati e il tuo indirizzo IP sarà anonimizzato.

Biscotti! Non vengono installati cookie di tracciamento né raccolti dati personali ma questo sito è federato con ActivityPub ⁂, visitandolo quindi potresti fare connessioni esterne ai server di Mastodon o altri software. Affiliazioni: Alcuni articoli potrebbero contenere link di affiliazione. Se acquisti tramite questi link, potremmo ricevere una piccola commissione.