Google

Extensões do Chrome expõem dados por HTTP e vazam chaves de API

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson é Jornalista, Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design...
Follow:
Google Chrome

Falha crítica compromete privacidade online dos usuários

Diversas extensões populares do Google Chrome estão comprometendo a segurança e a privacidade dos usuários ao transmitir dados por conexões não criptografadas e embutir chaves de API diretamente no código-fonte. Essa descoberta alarmante foi feita por pesquisadores da Symantec, que identificaram práticas negligentes em extensões amplamente utilizadas, o que pode abrir portas para ataques cibernéticos e violações de dados em larga escala.

Conteúdo

Extensões do Chrome vazam dados sensíveis e expõem usuários a riscos cibernéticos

Falha Chrome

Dados sensíveis expostos por HTTP

A palavra-chave de foco deste artigo, extensões do Chrome, aparece no centro de uma nova polêmica de segurança. Segundo o pesquisador Yuanjing Guo, várias dessas extensões transmitem informações sensíveis como domínios de navegação, IDs de máquina, dados do sistema operacional, hábitos de uso e informações de desinstalação em texto simples por meio de HTTP, em vez de HTTPS.

Essa falha permite que agentes mal-intencionados interceptem e até modifiquem os dados em redes públicas, como Wi-Fi de aeroportos, cafés ou bibliotecas. Trata-se de uma vulnerabilidade conhecida como ataque de adversário no meio (AitM).

Lista de extensões comprometidas

Entre as extensões identificadas pela Symantec, estão ferramentas populares como:

  • Browsec VPN
  • SEMRush Rank e PI Rank
  • MSN Nova Guia e Página Inicial do MSN
  • DualSafe Password Manager & Digital Vault

Mesmo ferramentas de segurança e privacidade como AVG Online Security e Extensão de segurança e privacidade on-line foram encontradas com segredos codificados diretamente no JavaScript, o que pode permitir que invasores utilizem essas chaves para executar requisições maliciosas, manipular dados analíticos ou até mesmo explorar serviços pagos como AWS e Azure, gerando custos fraudulentos aos desenvolvedores.

O que pode ser feito com essas chaves?

Com acesso às chaves de API embutidas nas extensões do Chrome, cibercriminosos podem:

  • Corromper métricas do Google Analytics 4 (GA4)
  • Executar comandos fraudulentos no Azure Speech Recognition
  • Usar buckets S3 da AWS para hospedar conteúdo ilegal
  • Manipular transações em plataformas Web3 como a Ramp Network
  • Inflar artificialmente os custos de uso de APIs de terceiros

Esses riscos são amplificados pelo fato de algumas bibliotecas usadas nas extensões, como a InboxSDK, também conterem credenciais codificadas. Essa biblioteca, presente em mais de 90 extensões, eleva o escopo do problema e sugere que muitas outras extensões podem estar igualmente vulneráveis.

O impacto no ecossistema de extensões

Esse incidente lança luz sobre a falta de revisão rigorosa no ecossistema de extensões do Chrome, levantando questionamentos sérios sobre a eficácia dos mecanismos de validação da Chrome Web Store. Para os usuários, isso representa uma ameaça direta à privacidade e segurança digital, mesmo quando se utiliza extensões tidas como confiáveis.

Para desenvolvedores, a exposição de segredos pode resultar em prejuízos financeiros, reputacionais e até banimento de serviços como AWS, Google Cloud e Azure. A Symantec alerta que mesmo que senhas não tenham sido expostas diretamente, a presença de tráfego não criptografado em extensões de gerenciadores de senhas “corrói a confiança” na segurança dessas soluções.

O que os usuários devem fazer?

Usuários do Chrome devem:

  • Verificar e revisar extensões instaladas
  • Remover extensões não essenciais
  • Preferir alternativas de código aberto auditáveis
  • Usar ferramentas de segurança que monitorem conexões HTTP inseguras

Para desenvolvedores, o uso de práticas como envio de dados apenas por HTTPS, uso de variáveis de ambiente para gerenciar segredos e análise de segurança estática são passos cruciais para mitigar riscos semelhantes no futuro.

Conclusão

A descoberta dessas falhas em extensões do Chrome é um alerta para toda a comunidade digital — de usuários comuns a grandes empresas. Ela ressalta a importância da segurança por design, boas práticas de desenvolvimento e uma revisão mais criteriosa de códigos e bibliotecas utilizadas. Diante de um cenário onde algumas linhas de código podem comprometer um ecossistema inteiro, como disse Guo, é fundamental que a comunidade reaja com rapidez e responsabilidade.

TAGGED:
Compartilhe este artigo
Artigo anterior Imagem com a logomarca do Birchflow Instale o Birchflow, um sistema de gestão de documentos, no Ubuntu, Fedora, Debian e outras distribuições Linux com Flatpak
Próximo artigo Logomarca do Gemini Google testa Gemini Kingfall, modelo de IA com foco avançado em codificação
Artigos

Fedora 40: Abraçando Totalmente o Wayland

Gerenciador de janelas Miracle-WM Wayland recebe atualização antes do Fedora Miracle Spin

O Fedora 40 está trazendo algumas mudanças significativas, especialmente para a opção KDE Plasma. Com 2024 no horizonte, é hora de considerar o que está reservado para o Fedora 40,…

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto