Extensões maliciosas do Chrome contornam medidas de segurança do Manifest V3

O Manifest V3, introduzido pelo Google para reforçar a segurança das extensões no Chrome, trouxe mudanças técnicas significativas, como a proibição de execução de código baixado remotamente. No entanto, extensões maliciosas continuam encontrando maneiras de burlar essas restrições, segundo um estudo de Wladimir Palant, desenvolvedor original do Adblock Plus.

O estudo identificou três grupos principais de desenvolvedores envolvidos nessas práticas:

• Phoenix Invicta: responsável por extensões como “Volume Booster - Super Sound Booster”, que ocultam comportamentos maliciosos sob funcionalidades aparentemente legítimas. Essas extensões utilizam configurações remotas para injetar código HTML em sites, desativar políticas de segurança (como CSP) e exibir anúncios disfarçados de resultados de pesquisa.
• Technosense Media: criadora de extensões como “Flipshope” e “Adblock all advertisements”, que coletam dados de navegação dos usuários. Essas informações são usadas para fraudes de afiliados e práticas como “cookie stuffing”. Apesar de denúncias, algumas dessas extensões ainda estão disponíveis na Chrome Web Store.
• Sweet VPN: desenvolvedora da extensão homônima, que utiliza código fortemente ofuscado e baixa instruções JSON de servidores remotos. Essas instruções podem incluir funcionalidades maliciosas, como espionagem dos hábitos de navegação. Além disso, a extensão implementa mecanismos anti-debugging para dificultar a detecção.

Palant critica a falta de uma política clara do Google para lidar com essas ameaças, apontando que a empresa depende exclusivamente de soluções técnicas, que têm se mostrado insuficientes. Ele também destaca falhas no processo de revisão da Chrome Web Store, que permite a permanência de extensões com comportamentos suspeitos.