Estensioni browser dannose: una libreria raccoglie dati dagli utenti per fini commerciali

Le estensioni per Chrome, Firefox ed Edge, installate quasi un milione di volte, aggirano la protezione e trasformano i browser in scraper che raccolgono informazioni dai siti web per clienti commerciali. Secondo gli analisti di SecurityAnnex , sono state scaricate 245 estensioni dannose, per un totale di circa 909.000 volte. Tutte hanno scopi diversi, tra cui la gestione dei segnalibri e degli appunti, l’aumento del volume e la generazione di numeri casuali. Ma condividono tutte la stessa libreria open source MellowTel-js, che consente agli sviluppatori di monetizzare le proprie estensioni.

I ricercatori affermano che la monetizzazione si basa sull’uso di estensioni per estrarre informazioni da siti web a vantaggio di clienti commerciali. Tra questi, secondo il fondatore di MellowTel, Arsian Ali, ci sono anche startup di intelligenza artificiale. Gli analisti di SecurityAnnex sono giunti a questa conclusione dopo aver scoperto stretti legami tra MellowTel e Olostep, un’azienda che si definisce “la soluzione di scraping API più affidabile e conveniente al mondo”.

Olostep afferma che i suoi bot “evitano il rilevamento e possono elaborare fino a 100.000 richieste in parallelo in pochi minuti”. Quindi, i clienti dell’azienda pagano, specificano la posizione dei browser tramite cui desiderano accedere a determinate pagine web e Olostep utilizza il suo database di estensioni installate per soddisfare la richiesta. “Abbiamo motivo di credere che le richieste di scraping di Olostep siano distribuite su tutte le estensioni attive che utilizzano la libreria MellowTel”, affermano gli esperti.

Il creatore di MellowTel, a sua volta, sostiene che la sua libreria sia progettata per “condividere le connessioni internet [degli utenti] (senza inserire link di affiliazione, pubblicità non correlate o la necessità di raccogliere dati personali)”. Afferma inoltre che “il motivo principale per cui le aziende pagano per il traffico è accedere in modo affidabile ed economico ai dati disponibili al pubblico dai siti web”. Secondo lo sviluppatore, gli autori delle estensioni ricevono il 55% dei ricavi e MellowTel il resto.

Tuttavia, SecurityAnnex avverte che le estensioni che utilizzano MellowTel rappresentano un rischio per gli utenti. Uno dei motivi è che MellowTel impone alle estensioni di attivare un web socket che si connette a un server AWS che raccoglie informazioni su posizione, larghezza di banda disponibile, attività e stato degli utenti dell’estensione. Oltre alla violazione della privacy, WebSocket inietta anche un iframe nascosto nelle pagine visualizzate, che si collega a siti da un elenco recuperato dal server AWS. E gli utenti non hanno modo di “vedere” quali siti vengono aperti nell’iframe nascosto.

Indebolire l’intera esperienza di navigazione in questo modo può esporre gli utenti ad attacchi cross-site scripting che normalmente vengono prevenuti. Quindi, non solo i tuoi utenti diventano inconsapevolmente dei bot, ma sono anche vulnerabili durante la navigazione sul web. Gli esperti sottolineano inoltre che il problema di MellowTel è che i siti che la biblioteca apre sono nascosti agli utenti finali. Infatti, le persone devono fidarsi di MellowTel per verificare la sicurezza e l’affidabilità di ogni risorsa che aprono.

Lo stato attuale delle estensioni che utilizzano MellowTel è:

• 12 delle 45 estensioni di Chrome trovate non sono più attive. Alcune sono state rimosse a causa del rilevamento di malware, mentre in altri casi gli sviluppatori stessi hanno smesso di utilizzare la libreria;
• Solo 8 delle 129 estensioni di Edge sono state disabilitate;
• Delle 71 estensioni pericolose per Firefox, solo 2 sono state disattivate.

L’elenco completo delle estensioni è disponibile qui .

In seguito alle accuse dei ricercatori e a numerosi resoconti dei media, il creatore di MellowTel, Arsian Ali, ha pubblicato una lunga risposta, in cui afferma che sta solo cercando di “creare un’alternativa open source ai meccanismi pubblicitari e un motore di monetizzazione per il mondo dell’intelligenza artificiale”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.