Un reciente análisis de 100 extensiones populares de Chrome ha revelado que muchas de ellas solicitan permisos invasivos que podrían comprometer la seguridad del usuario. Según los investigadores de Cybernews, el 86% de estas extensiones obtienen permisos de alto riesgo al ser instaladas, lo que plantea serias preocupaciones sobre la privacidad y la seguridad.
La mayoría de las extensiones requieren acceso completo a todos los sitios web que visita el usuario, la capacidad de modificar pestañas del navegador y almacenar datos. En promedio, cada extensión solicita 6.4 permisos, de los cuales 5.3 son considerados de alto o moderado riesgo. Esto significa que los usuarios tienen poco control sobre los permisos que conceden, ya que deben aceptar todos ellos al instalar la extensión. Teona Patussi, investigadora de seguridad de Cybernews, advierte que los usuarios casi no tienen control sobre los permisos que utilizan las extensiones. O aceptas la lista de permisos o no puedes instalarlas.
El análisis también encontró inconsistencias significativas entre extensiones con funciones similares. Por ejemplo, dos generadores de códigos QR con el mismo nombre solicitaban conjuntos de permisos muy diferentes, lo que genera dudas sobre la necesidad de ciertos accesos.
Entre las extensiones que más permisos requieren se encuentra Tampermonkey, con 18 permisos declarados, y varias extensiones de productividad que piden hasta 16 permisos. Los bloqueadores de anuncios y los gestores de contraseñas también están entre los que más permisos solicitan. Los permisos más comunes incluyen el acceso a almacenamiento (95 extensiones), permisos de scripting (65) y permisos de acceso a pestañas (53). Estos últimos pueden revelar información sensible sobre los hábitos de navegación del usuario y ser utilizados para ataques de phishing.
Durante la investigación, Google eliminó dos extensiones de la Chrome Web Store que se sospechaba contenían actividad maliciosa. Una de ellas, Nimble Capture, tenía más de un millón de instalaciones y fue retirada tras quejas de usuarios sobre su posible contenido malicioso.
Los investigadores de Cybernews advierten que es crucial revisar las extensiones instaladas y asegurarse de que provengan de desarrolladores reputables. Se recomienda revisar todos los permisos antes de la instalación, limitar el uso de extensiones al mínimo necesario, auditar periódicamente las extensiones instaladas y utilizar soluciones de antivirus con protección web. Patussi concluye que deberíamos evitar el uso de extensiones de Chrome para tareas que se pueden realizar de otras maneras, subrayando la importancia de la precaución en un entorno digital cada vez más complejo.
Si (
No(
