Esta semana, Google aseguró que su investigación de las extensiones de Chrome detecta la mayoría de los códigos maliciosos, aun cuando reconoció que «como ocurre con cualquier software, las extensiones también pueden introducir riesgos». Casualmente, un trío de investigadores afiliados a la Universidad de Stanford en los EE. UU. y al Centro Helmholtz para la Seguridad de la Información CISPA en Alemania acaban de publicar un artículo sobre datos recientes de Chrome Web Store que sugieren que el riesgo que representan las extensiones del navegador es mucho mayor de lo que Google admite. El documento, «¿Qué hay en Chrome Web Store? Investigación de extensiones de navegador dignas de mención en materia de seguridad», está previsto que se presente en la Conferencia ACM Asia sobre seguridad informática y de las comunicaciones (ASIA CCS ’24) en julio. El jueves, en Google, Benjamin Ackerman, Anunoy Ghosh y David Warren, del equipo de seguridad de Chrome, afirmaron: «En 2024, se descubrió que menos del uno por ciento de todas las instalaciones de Chrome Web Store incluían malware. Estamos orgullosos de este registro y aún así algunas extensiones malas todavía llegan, por lo que también monitoreamos las extensiones publicadas.» Bueno, «algunas extensiones malas» resultan ser muchas, según lo definen y miden los investigadores Sheryl Hsu, Manda Tran y Aurore Fass. Como describen en su artículo de investigación, las extensiones dignas de mención de seguridad (SNE) todavía representan un problema grave. Un SNE se define como una extensión que contiene malware, viola la política de Chrome Web Store o contiene código vulnerable. Por tanto, se trata de una categoría más amplia que un simple conjunto de extensiones maliciosas. Las extensiones de navegador han sido motivo de preocupación durante mucho tiempo porque tienen acceso a información confidencial. Es posible que puedan ver los datos que entran o salen de su navegador web, según los permisos otorgados. Han sido utilizados por malhechores para difundir malware, rastrear y espiar a los usuarios y robar datos. Pero como la mayoría de las extensiones son gratuitas, nunca ha habido un gran flujo de ingresos que los operadores de tiendas de navegadores puedan utilizar para financiar la seguridad. Pero la seguridad de las extensiones no se puede ignorar. Una de las razones por las que Google emprendió su esfuerzo por redefinir la arquitectura de extensiones de su navegador hace varios años (una iniciativa conocida como Manifest v3) fue limitar el potencial abusivo de las extensiones. Sin embargo, según los investigadores, Chrome Web Store, a pesar de los esfuerzos de Google, está bien equipada con extensiones peligrosas. Estos SNE son un problema importante: más de 346 millones de usuarios instalaron un SNE en los últimos tres años «Encontramos que estos SNE son un problema importante: más de 346 millones de usuarios instalaron un SNE en los últimos tres años (280 millones de malware, 63 millones de políticas violación y tres millones vulnerables)», afirman los autores. «Además, estas prórrogas se quedan en el [Chrome Web Store] durante años, lo que hace que la investigación exhaustiva de las extensiones y la notificación a los usuarios afectados sean aún más críticas». Los autores recopilaron y analizaron datos de las extensiones de Chrome disponibles entre el 5 de julio de 2020 y el 14 de febrero de 2023, momento en el que había casi 125.000 extensiones disponibles en Chrome Web Store Por lo tanto, estos hallazgos no reflejan necesariamente el estado actual de Chrome Web Store. Los investigadores encontraron que las extensiones de Chrome a menudo no duran mucho tiempo: «sólo entre el 51,86 y el 62,98 por ciento de las extensiones siguen disponibles después de un año». «, dice el documento. Pero las extensiones maliciosas también pueden ser duraderas. Los SNE permanecen en Chrome Web Store durante un promedio de 380 días, si contienen malware, y 1248 días si simplemente contienen código vulnerable, según el documento. La extensión maliciosa estuvo disponible en la tienda durante 8,5 años. «Esta extensión, ‘TeleApp’, se actualizó por última vez el 13 de diciembre de 2013 y se descubrió que contenía malware el 14 de junio de 2022», afirmó el periódico. «Esto es extremadamente problemático, ya que este tipo de extensiones ponen en peligro la seguridad y la privacidad de sus usuarios durante años». Los expertos también señalan que el sistema de clasificación de tiendas no parece ser eficaz para separar las extensiones buenas de las malas. Esto se debe a que las calificaciones de los usuarios para SNE maliciosos no son significativamente diferentes de las de extensiones benignas. «En general, los usuarios no otorgan calificaciones más bajas a SNE, lo que sugiere que es posible que los usuarios no sean conscientes de que dichas extensiones son peligrosas», afirman los autores. «Por supuesto, también es posible que los bots estén dando reseñas falsas y calificaciones altas a esas extensiones. Sin embargo, considerando que la mitad de SNE no tiene reseñas, parece que el uso de reseñas falsas no está muy extendido en este caso». En cualquier caso, dicen, la inutilidad de las reseñas de los usuarios como guía de calidad subraya la necesidad de una mayor supervisión por parte de Google. Una de las sugerencias que tienen los autores es que Google supervise las extensiones para detectar similitudes de códigos. Encontraron miles de extensiones que comparten código similar, lo que, según señalan, es generalmente una mala práctica. Copiar y pegar desde Stack Overflow, seguir el consejo de asistentes de inteligencia artificial o simplemente implementar bibliotecas o textos estándar obsoletos puede difundir código vulnerable. «Por ejemplo, aproximadamente 1.000 extensiones utilizan el proyecto de código abierto Extensionizr, de las cuales entre el 65 y el 80 por ciento todavía utilizan las versiones de biblioteca predeterminadas y vulnerables inicialmente empaquetadas con la herramienta, hace seis años», observan los autores. También denuncian la «falta crítica de mantenimiento» de las extensiones de Chrome Web Store: casi el 60 por ciento de las extensiones nunca se han actualizado, lo que significa que se pierden mejoras de seguridad como las integradas en la revisión de la plataforma Manifest v3. Si bien detectar extensiones vulnerables es fundamental, también necesitamos mejores incentivos para alentar y apoyar a los desarrolladores a corregir las vulnerabilidades. La falta de mantenimiento significa que las extensiones pueden permanecer en la tienda durante años después de que se revelan las vulnerabilidades. «Al menos 78/184 extensiones (42 por ciento) todavía están en el CWS y siguen siendo vulnerables dos años después de su divulgación», afirman los investigadores. «Esto demuestra que, si bien detectar extensiones vulnerables es fundamental, también necesitamos mejores incentivos para alentar y apoyar a los desarrolladores a corregir las vulnerabilidades después de su divulgación». Y muchas extensiones incorporan bibliotecas de JavaScript vulnerables. El equipo descubrió que un tercio de las extensiones (~40 000) utilizan una biblioteca de JavaScript con una vulnerabilidad conocida. «Detectamos más de 80.000 usos de bibliotecas vulnerables, lo que afecta a casi 500 millones de usuarios de extensiones», afirman. Sheryl Hsu, investigadora universitaria de Stanford y coautora del artículo, dijo a The Register en un correo electrónico que cree que la seguridad de las extensiones ha ido mejorando. «Creo que ahora somos más conscientes de los riesgos (especialmente gracias a muchos investigadores que han descubierto vulnerabilidades) en comparación con hace 10 años, cuando las extensiones recién comenzaban», dijo. Hsu dijo que cree que valdría la pena marcar las extensiones que se han actualizado o que contienen bibliotecas vulnerables. Los fabricantes de bloqueadores de anuncios y extensiones de privacidad del navegador temen que el final esté cerca A PARTIR DE 2022 «Pero también es importante tener cierta precaución, ya que las cosas que no se actualizan pueden no ser vulnerables (por ejemplo, una aplicación súper simple que en realidad nunca necesita actualizar) y sólo porque una extensión utilice alguna biblioteca vulnerable no significa que la vulnerabilidad pueda ser explotada», dijo. «Realmente depende de qué partes de la biblioteca esté usando una extensión. Creo que una parte difícil de la ciberseguridad siempre es descubrir cómo darle al usuario la información correcta para tomar decisiones informadas, pero también darse cuenta de que muchos usuarios no lo hacen». Tengo el conocimiento técnico o el tiempo para profundizar en cosas como esta». Hsu agregó: «Creo que desactivar Manifest v2 definitivamente debería ayudar con estos problemas, espero que lo hagan pronto». Las extensiones de Chrome Manifest v2 dejarán de funcionar en el versión de lanzamiento general de Chrome (canal estable) a principios de 2025, salvo que se produzcan más retrasos. Un portavoz de Google dijo a The Register el viernes: «También hemos lanzado recientemente nuevas herramientas que brindan una mayor conciencia de los usuarios sobre extensiones potencialmente riesgosas, y lo harán. seguir invirtiendo en esta área», añadió el representante. ®