Pesquisadores da Symantec identificaram uma falha grave em extensões populares do Chrome: muitas transmitem dados em HTTP não criptografado e armazenam chaves de API diretamente no código, oferecendo brechas significativas para invasores
Entre as extensões problemáticas estão SEMRush Rank, PI Rank, Browsec VPN, MSN New Tab e DualSafe Password Manager. Elas vazam informações como ID de máquina, sistema operacional, dados de uso e até detalhes sobre desinstalação — tudo enviado em texto simples, o que permite ataques do tipo Man-in-the-Middle em redes públicas
Além disso, extensões como AVG Online Security, Equatio, Trust Wallet e Antidote Connector contam com chaves de API e tokens embutidos em JavaScript. Isso permite que invasores usem essas credenciais para inflar custos em nuvem, falsificar telemetria, enviar comandos não autorizados ou hospedar conteúdos maliciosos
A Symantec alerta: “Não confie apenas no nome ou popularidade — examine protocolos e dados compartilhados para proteger sua informação” . Por sua vez, a SC Magazine reforça que a privacidade e a segurança dos usuários estão em risco se extensões continuarem operando sem HTTPS e com credenciais codificadas
Dica de prevenção
-
Avalie antes de instalar: verifique reputação, número de downloads e avaliações de extensões.
-
Revise permissões: analise cuidadosamente o que cada extensão solicita.
-
Remova extensões vulneráveis: especialmente aquelas que usam HTTP ou contêm chaves embutidas até que sejam atualizadas.
-
Evite extensões sensíveis em redes públicas: prefira conexões seguras.
-
Monitore uso de API: estabeleça limites, rotacione chaves e minimize privilégios.
Mesmo extensões populares com centenas de milhares de instalações não estão isentas de falhas triviais. Na LC SEC, realizamos testes de intrusão (pentests), revisamos políticas de segurança e conscientizamos equipes sobre riscos em extensões — protegendo sua empresa de ameaças digitais sutis. Saiba mais em lcsec.io.
Compartilhe nas redes sociais:
