Hoy en día es muy común instalar extensiones o complementos en el navegador, que vitaminan algunas funciones, o proporcionan funcionalidades que no son nativas.
En la tienda de complementos de Google Chrome, que es el navegador a día de hoy más utilizado con casi un 70% de cuota, se puede encontrar prácticamente de todo, y ocurre muchas veces, que nos centramos en buscar un complemento que permita dar solución a nuestro problema, sin fijarnos en las consideraciones de seguridad relacionadas.
Cuando instalamos un complemento de cualquier tipo, es importante revisar primero quién lo ha desarrollado, no es lo mismo que se trate de un software de una entidad reconocida como Google, Amazon, Adobe… a la de una empresa totalmente desconocida. También debemos fijarnos en las reseñas, y en si está siendo adoptado por muchos usuarios, encontrando 2 complementos que hagan lo mismo, no es igual que tenga 5 estrellas y miles de reseñas positivas, a que únicamente tenga críticas y pocas personas se hayan animado a instalarlo.
Y por último, lo más importante, debemos revisar durante la instalación los permisos solicitados por el complemento, y desechar la idea de implantarlo si nos salta de ojo que pide tener acceso a cosas que no debiera.
En este sentido, es importante tener en cuenta que en todo caso, Google no mima lo que debiera la seguridad en este tipo de complementos, permitiendo por ejemplo que una extensión relacionada a una web o sitio concreto, tenga acceso a la información de todas las webs que visitamos.
Relacionado a todo lo anterior, un investigador llamado Matthew Bryant, ha desarrollado y publicado en GitHub una extensión de Chrome denominada CursedChrome, que tiene como objeto tratar de sensibilizar sobre este problema.
CursedChrome tiene 2 partes, una para el lado del cliente, y otra para la del atacante, básicamente lo que hace es mostrar cómo con una extensión dañina instalada en un equipo, podemos obtener de un modo muy sencillo información de sesiones iniciadas en plataformas como Google, Bancos, Ebay, Paypal…
El investigador también ha publicado otra extensión denominada GoogleGalvanizer, orientada a generar políticas en la empresa que permitan mitigar la instalación de extensiones de navegador no seguras.
A continuación os dejamos un video del autor, dónde detalla cómo poner en marcha y trastear con la herramienta CursedChrome:
