imágenes falsas
Las extensiones de bloqueo de anuncios con más de 300,000 usuarios activos han estado cargando subrepticiamente los datos de navegación de los usuarios y manipulando las cuentas de las redes sociales de los usuarios gracias al malware que su nuevo propietario introdujo hace unas semanas, según análisis técnicos y publicaciones en Github.
Cyril Gorla
Hugo Xu, desarrollador de las extensiones Nano Adblocker y Nano Defender, dijo hace 17 días que ya no tenía tiempo para mantener el proyecto y había vendido los derechos de las versiones disponibles en Chrome Web Store de Google. Xu me dijo que Nano Adblocker y Nano Defender, que a menudo se instalan juntos, tienen alrededor de 300 000 instalaciones en total.
Hace cuatro días, Raymond Hill, creador de la extensión uBlock Origin en la que se basa Nano Adblocker, reveló que los nuevos desarrolladores habían implementado actualizaciones que agregaban código malicioso.
Lo primero que Hill notó que hacía la nueva extensión fue verificar si el usuario había abierto la consola del desarrollador. Si se abrió, la extensión envió un archivo titulado «informe» a un servidor en https://def.dev-nano.com/. “En palabras simples, la extensión verifica de forma remota si está utilizando las herramientas de desarrollo de la extensión, que es lo que haría si quisiera saber qué está haciendo la extensión”, escribió.
El cambio más obvio que notaron los usuarios finales fue que los navegadores infectados emitían Me gusta automáticamente para una gran cantidad de publicaciones de Instagram, sin intervención de los usuarios. Cyril Gorlla, investigador de inteligencia artificial y aprendizaje automático de la Universidad de California en San Diego, me dijo que a su navegador le gustaron más de 200 imágenes de una cuenta de Instagram que no seguía a nadie. La captura de pantalla a la derecha muestra algunas de las fotos involucradas.
Nano Adblocker y Nano Defender no son las únicas extensiones que se ha informado que alteran las cuentas de Instagram. Se informa que User Agent Switcher, una extensión que tenía más de 100,000 usuarios activos hasta que Google la eliminó a principios de este mes, hizo lo mismo.
Muchos usuarios de la extensión Nano en este foro informaron que sus navegadores infectados también estaban accediendo a cuentas de usuario que aún no estaban abiertas en sus navegadores. Esto ha llevado a la especulación de que las extensiones actualizadas acceden a las cookies de autenticación y las utilizan para obtener acceso a las cuentas de los usuarios. Hill dijo que revisó parte del código agregado y descubrió que estaba cargando datos.
“Dado que el código agregado pudo recopilar encabezados de solicitud en tiempo real (supongo que a través de la conexión websocket), esto significa que se podría filtrar información confidencial, como las cookies de sesión”, escribió en un mensaje. «No soy un experto en malware, por lo que no puedo pensar en *todo* lo que es posible cuando se tiene acceso en tiempo real para solicitar encabezados, pero entiendo que es realmente malo».
Otros usuarios informaron que también se accedía y manipulaba sitios distintos a Instagram, en algunos casos, incluso cuando el usuario no había accedido al sitio, pero estas afirmaciones no se pudieron verificar de inmediato.
Alexei, un tecnólogo sénior del personal de Electronic Frontier Foundation que trabaja en la extensión Privacy Badger, ha estado siguiendo las discusiones y me proporcionó la siguiente sinopsis:
La esencia es que las extensiones Nano se actualizaron para cargar subrepticiamente sus datos de navegación de una manera configurable de forma remota. Configurable de forma remota significa que no hubo necesidad de actualizar las extensiones para modificar la lista de sitios web cuyos datos serían robados. De hecho, la lista de sitios web se desconoce en este momento ya que se configuró de forma remota. Sin embargo, hay muchos informes de cuentas de Instagram de usuarios afectadas.
La evidencia recopilada hasta la fecha muestra que las extensiones están cargando datos de usuario de forma encubierta y obteniendo acceso no autorizado a al menos un sitio web, en violación de los términos de servicio de Google y muy posiblemente de las leyes aplicables. Google ya eliminó las extensiones de Chrome Web Store y emitió una advertencia de que no son seguras. Cualquiera que haya instalado cualquiera de estas extensiones debe eliminarlas de sus máquinas de inmediato.
Nano Adblocker y Nano Defender están disponibles en las tiendas de extensiones alojadas por Firefox y Microsoft Edge. Xu y otros dicen que ninguna de las extensiones disponibles en estas otras ubicaciones se ve afectada. La advertencia es que Edge puede instalar extensiones desde Chrome Web Store. Todos los usuarios de Edge que usaron esta fuente están infectados y deben eliminar las extensiones.
La posibilidad de que las extensiones hayan cargado cookies de sesión significa que cualquier persona infectada debería, como mínimo, cerrar sesión por completo en todos los sitios. En la mayoría de los casos, esto debería invalidar las cookies de sesión y evitar que alguien las use para obtener acceso no autorizado. Los usuarios verdaderamente paranoicos querrán cambiar las contraseñas solo para estar seguros.
El incidente es el último ejemplo de alguien que adquiere una extensión de navegador establecida o una aplicación de Android y la usa para infectar a la gran base de usuarios que ya la tiene instalada. Es difícil proporcionar consejos prácticos para prevenir este tipo de abuso. Las extensiones de Nano no fueron una operación improvisada. Los usuarios tenían todas las razones para creer que estaban a salvo hasta que, por supuesto, ese ya no fue el caso. El mejor consejo es revisar periódicamente las extensiones que están instaladas. Cualquiera que ya no sea de uso debe ser eliminado.
