Quase 30% das extensões do Chrome são vulneráveis a ataques

Uma análise de cem extensões do Google Chrome – incluindo as 50 seleções mais populares – descobriu que 27% delas contêm uma ou mais vulnerabilidades que podem ser exploradas por invasores tanto por meio da web quando por meio de hotspots wi-fi inseguros.

Essas descobertas vieram de um estudo conduzido pelos analistas de segurança Nicholas Carlini e Prateek Saxena na Universidade da Califórnia, nos Estados Unidos. Eles analisaram em particular as 50 extensões mais populares do Chrome, bem como outras 50 escolhidas ao acaso, para vulnerabilidades por injeção JavaScript já que tais falhas podem permitir que um invasor tome controle total de uma extensão.

Os pesquisadores descobriram que 27 das cem extensões estudadas contêm uma ou mais vulnerabilidades, com um total de 51 vulnerabilidades em todas elas. Eles também disseram que sete extensões vulneráveis são usadas por 300 mil ou mais pessoas.

Os pesquisadores enviaram os alertas de vulnerabilidade para os desenvolvedores relevantes e até agora duas correções foram lançadas. Uma envolvendo a extensão Silver Bird, do Twitter (versão 1.9.7.9), a qual possuía uma vulnerabilidade que um invasor podia usar para esconder scripts em dados de notícias enviados pelo microblog, apesar de ele limpar todos os dados que chegam contra ataque. A vulnerabilidade foi corrigida com o lançamento da versão 1.9.8.4 do Silver Bird.

Outra vulnerabilidade foi resolvida pelo Google ao atualizar o OpenAttribute – usado para ajudar as pessoas a lerem licenças Creative Commons (CC) de sites – da versão 0.6 para a 0.7, com a nova versão barrando a segurança de extensão.

(Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini)