Tu Chrome no te protege: extensiones que debes eliminar ahora mismo

Los analistas de Symantec identificaron vulnerabilidades graves en varias extensiones populares de Google Chrome, que ponen en riesgo la privacidad y la seguridad de los usuarios. Los problemas están relacionados con la transmisión de datos sensibles a través del protocolo HTTP sin cifrado y la presencia de secretos codificados directamente en el código de las extensiones.

Según Yuanjing Guo, investigador del equipo de Symantec, varias extensiones ampliamente utilizadas transmiten inadvertidamente información sensible mediante conexiones HTTP no seguras. Entre estos datos se incluyen los dominios visitados, identificadores de dispositivos, detalles del sistema operativo, análisis de uso e incluso información sobre la desinstalación de la extensión. Todo esto se transmite en texto claro, sin cifrado. Al no estar protegido el tráfico, es vulnerable a ataques del tipo adversario-en-el-medio (AitM). Un atacante en la misma red —por ejemplo, en una Wi-Fi pública— puede interceptar o incluso modificar los datos, lo que puede tener consecuencias más graves.

Las extensiones inseguras identificadas incluyen:

• SEMRush Rank y PI Rank: se conectan por HTTP al dominio rank.trellian[.]com;
• Browsec VPN: al desinstalarse, envía una solicitud HTTP a browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com;
• MSN New Tab y MSN Homepage, Bing Search & News: transmiten identificadores únicos de dispositivos a g.ceipmsn[.]com;
• DualSafe Password Manager: envía estadísticas de uso, versión de la extensión e idioma del navegador a stats.itopupdate[.]com.

Aunque no se detectó filtración directa de contraseñas, el simple hecho de que un gestor de contraseñas transmita telemetría por una conexión no cifrada socava la confianza en su fiabilidad.

Symantec también identificó otro grupo de extensiones que contienen claves API, tokens y secretos codificados directamente en su código. Estos datos podrían ser aprovechados por atacantes para generar solicitudes maliciosas y realizar ataques.

Entre ellas están:

• AVG Online Security, Speed Dial [FVD], SellerSprite: contienen claves incrustadas de Google Analytics 4 (GA4), con las que se pueden manipular métricas;
• Equatio: contiene una clave de Microsoft Azure usada para reconocimiento de voz;
• Awesome Screen Recorder y Scrolling Screenshot Tool: exponen claves de desarrollador de AWS para subir capturas a almacenamiento S3;
• Microsoft Editor: utiliza la clave de telemetría StatsApiKey para recopilar análisis de uso;
• Antidote Connector: utiliza la biblioteca de terceros InboxSDK que contiene claves API codificadas. Esta misma biblioteca se utiliza en más de 90 extensiones adicionales cuyos nombres no se han revelado;
• Watch2Gether, Trust Wallet, TravelArrow: contienen claves públicas para las API de Tenor, Ramp Network e ip-api respectivamente.

Si un atacante accede a estas claves, puede falsificar telemetría, simular transacciones en criptomonedas, alojar contenido prohibido y generar costes adicionales a los desarrolladores por uso de las APIs.

Los expertos subrayan que desde GA4 hasta Azure, de AWS a Ramp —unas pocas líneas de código inseguro pueden comprometer un servicio completo. La solución: no almacenar datos sensibles en el cliente y usar solo canales de comunicación cifrados.

Se recomienda a los usuarios eliminar las extensiones vulnerables hasta que los desarrolladores eliminen las llamadas a través del protocolo no seguro. El tráfico abierto no es una amenaza teórica: puede ser interceptado fácilmente y luego utilizado para phishing, espionaje o ataques dirigidos.

Ni siquiera una gran popularidad o una marca reconocida garantizan el cumplimiento de principios básicos de seguridad. Las extensiones deben ser auditadas por los protocolos que utilizan y el tipo de información que transmiten —solo así es posible proteger realmente los datos del usuario.