Você já se sentiu em uma situação complicada quando o assunto é gerenciamento de senhas a longo prazo?
Pois saiba que você não está sozinho.
Por um lado, a indústria de tecnologia quer acabar com todas as senhas e substituí-las por chaves de acesso (passkeys). Os usuários, eventualmente, não terão escolha a não ser depender de gerenciadores de senhas para acessar seus sites e aplicativos favoritos. Sim, os dias de memorizar senhas ou anotá-las em cadernos estão contados.
Por outro lado, os hackers são uma ameaça constante. Todos os provedores de soluções de gerenciamento de senhas reconhecem que são alvos constantes de ataques, com invasores tentando acessar as informações que eles protegem.
Uma pesquisa recente indica que hackers estão redobrando seus esforços para invadir gerenciadores de senhas. Há um aumento significativo de malwares direcionados a roubar credenciais armazenadas.
Pesquisar “gerenciador de senhas invadido” no Google retorna uma lista preocupante de invasões. Felizmente, na maioria dos casos, as senhas e outras informações sensíveis estavam criptografadas o suficiente para limitar os danos.
Mas há uma ameaça nova e assustadora.
Uma nova e terrível ameaça
Uma das ameaças mais recentes e assustadoras veio de uma empresa que vende soluções focadas na detecção e mitigação em tempo real de ataques baseados em navegador. Essa empresa dedica muito tempo a estudar como a arquitetura das extensões de navegador representa um vetor de ataque potencial para hackers.
Extensões de navegador são pequenos aplicativos que muitos de nós instalamos no Chrome, Firefox, Edge e outros navegadores para melhorar nossa experiência na web. Cada navegador possui uma arquitetura subjacente que permite que essas extensões sejam executadas.
Em fevereiro, a empresa anunciou que encontrou uma maneira sorrateira para uma extensão maliciosa do Chrome se passar pela extensão de gerenciamento de senhas do 1Password. Embora o anúncio pareça uma má notícia para usuários do Chrome e do 1Password, é muito pior. A descoberta é relevante para todos os gerenciadores de senhas no Chrome e para todas as extensões em todos os navegadores populares.
A empresa não escolheu o Chrome ou o 1Password por serem inerentemente mais vulneráveis. A vulnerabilidade existe devido principalmente à maneira como tecnologias como JavaScript e WebAssembly funcionam.
Então, o que exatamente a empresa descobriu? E quais medidas você pode tomar para evitar que seu gerenciador de senhas e outras extensões sejam explorados?
Como extensões impostoras funcionam
O método engana os usuários para que trabalhem com uma extensão falsa.
Uma extensão polimórfica atrai você a instalá-la com um benefício anunciado, mas depois se transforma em uma extensão diferente que se apresenta convincentemente como uma de suas extensões legítimas já instaladas (por exemplo, seu gerenciador de senhas).
À primeira vista, a ideia de que uma extensão de navegador poderia ser tão prejudicial a outra parece ser um tipo de violação de limite de software que qualquer navegador razoável deveria bloquear como parte de sua arquitetura de segurança.
Por exemplo, quando uma extensão de navegador é adicionada à Chrome Web Store, o desenvolvedor deve declarar um manifesto de permissões sobre as quais os usuários finais são alertados antes que a extensão possa ser instalada.
No entanto, a lista de permissões é muito complicada para que os usuários comuns tomem uma decisão informada, aumentando a probabilidade de um ator de ameaça obter aprovação para um “superpoder” de navegador onisciente.
Uma das permissões que qualificam como permissões de superpoder é aquela que concede a uma extensão o direito de manipular outras extensões. Uma extensão pode solicitar essa permissão quando é instalada pela primeira vez ou durante uma atualização posterior.
Com essa permissão, uma extensão pode se transformar em outra, desabilitar outras e removê-las da barra de ferramentas do navegador sem detecção pelo usuário.
Para completar o ardil, uma extensão polimórfica substitui o ícone da extensão legítima (onde ela estava fixada na barra de ferramentas do navegador) por um sósia. Ao ser clicado, ativa a extensão polimórfica.
Depois, a extensão maliciosa muda seu próprio ícone para parecer com o do 1Password (ou qualquer outro gerenciador de senhas).
A seguir, a extensão maliciosa solicita as credenciais da conta do 1Password e envia as informações para o hacker. Em seguida, reabilita a extensão legítima e restaura os ícones fixados ao seu estado original, e até mesmo conclui o processo de login no site com o qual o usuário estava se autenticando.
Caso a extensão polimórfica não consiga obter a permissão do usuário para acessar o superpoder, ela pode exibir uma janela do navegador que se parece muito com uma de suas extensões legítimas. Injetar código na página atual é outro comportamento que, à primeira vista, parece um privilégio que nenhuma extensão deveria ter.
A ameaça da extensão polimórfica: real ou exagero?
É importante perceber que empresas de segurança precisam imaginar e, em seguida, animar certos ataques para impulsionar a demanda por suas soluções.
Neste caso, uma empresa imaginou um cenário que depende de uma combinação de erros do usuário. Por exemplo, o ataque só é possível depois que um usuário é enganado para instalar um malware.
Quais são as implicações para consumidores em comparação com empresas?
No caso de usuários individuais, a versão mais convincente do ataque requer que o usuário conceda à extensão impostora privilégios de superusuário. Considerando o quanto os usuários são facilmente enganados por phishing e smishing, o cenário é plausível.
Para empresas, o ataque depende de dois cenários possíveis. No primeiro, os usuários tomam suas próprias decisões sobre quais extensões são carregadas em seus sistemas. No segundo, alguém no setor de TI responsável por gerenciar as configurações de navegador e extensões aprovadas pela organização precisa estar atento.
6 razões pelas quais essa ameaça é um grande problema
A internet está cheia de falsos alarmes sobre vulnerabilidades de segurança. Mas este é um caso em que:
A transição de senhas para passkeys resultará na maioria de nós usando um gerenciador de senhas, quer queiramos ou não.
Os atores de ameaças estão determinados a invadir seu gerenciador de senhas.
Uma grande maioria dos usuários de gerenciadores de senhas instalará a extensão do navegador de seu gerenciador de senhas.
A maioria dos usuários finais tem momentos de fraqueza em que clicam em links suspeitos ou baixam softwares maliciosos.
A escolha do sistema operacional (Windows versus Mac) é irrelevante. Os navegadores são como máquinas virtuais, na medida em que incluem suas próprias plataformas de execução Javascript e WebAssembly.
Os fornecedores de soluções de gerenciamento de senhas concordam que, embora o ataque de extensão polimórfica seja atualmente um ataque hipotético, ele representa uma ameaça legítima a suas extensões de navegador.
Em outras palavras, este é um ataque que merece atenção e vigilância adicionais por parte de usuários finais e empresas. Como tal, aqui estão nossos conselhos sobre como se defender melhor.
Como se defender contra uma extensão maliciosa
1. Instale extensões apenas da Chrome Web Store de publicadores confiáveis
Extensões de navegador são essencialmente os arquivos EXE baixáveis do mundo dos navegadores. “Assim como você não baixaria e executaria EXEs não confiáveis ou de fontes aleatórias, o mesmo nível de discrição precisa ser aplicado às extensões do navegador”, explicou um especialista. “Instale extensões apenas da Chrome Web Store e certifique-se de que sejam de publicadores confiáveis. Você pode descobrir isso verificando o domínio do endereço de e-mail do desenvolvedor.”
Outra boa fonte de informações sobre extensões é a seção de comentários da Chrome Web Store. “Extensões com histórico de comportamento ruim geralmente são relatadas. Tome cuidado, especialmente com extensões que anunciam acesso a versões profissionais de outros sites de terceiros (por exemplo, extensões de IA que anunciam acesso à edição profissional mais recente do ChatGPT).”
2. Entenda por que determinadas permissões são solicitadas
Eduque-se sobre os tipos de permissões que podem conceder superpoderes do navegador a uma extensão que não precisa deles. “Extensões suspeitas geralmente solicitam mais permissões do que as inofensivas. Use apenas extensões de fontes confiáveis que expliquem explicitamente por que determinadas permissões de alto nível são necessárias.”
3. Procure por erros de ortografia
Estude cuidadosamente as descrições das extensões e procure por erros de ortografia antes de baixá-las. Atores de ameaças são notoriamente maus escritores. Em alguns casos, uma palavra-chave pode estar incorreta para escapar da detecção de máquinas. Por exemplo, “Antes de baixar alguma extensão, certifique-se de que o desenvolvedor é realmente “OpenAI” e não “OqenAI”.
4. Use autenticação multifator
Aproveite a autenticação multifator, especialmente ao autenticar com seu gerenciador de senhas. No cenário hipotético, a extensão maliciosa usa um diálogo que se parece com a extensão do 1Password para solicitar o ID e a senha do 1Password do usuário. No entanto, se seu gerenciador de senhas pode ser configurado para autenticar com uma passkey (como deveria), deve haver uma maneira de evitar inserir sua senha para seu gerenciador de senhas em qualquer extensão.
5. Revise suas extensões instaladas periodicamente
Verifique suas extensões instaladas em chrome://extensions/ e remova qualquer uma que você não reconheça ou não use mais. Revise as permissões para ver se elas ainda estão alinhadas com sua compreensão da funcionalidade da extensão e as permissões necessárias para habilitar essa funcionalidade.
6. Estude o comportamento das extensões instaladas
Familiarize-se melhor com suas interfaces do usuário, o que pode ajudá-lo a reconhecer melhor quando uma extensão — ou uma impostora — está fazendo algo inesperado.
7. Ative o recurso de navegação segura aprimorada do seu navegador
Quando a navegação segura padrão está selecionada, o Chrome “protege contra sites, downloads e extensões que são conhecidos por serem perigosos”. No entanto, a navegação segura aprimorada do Chrome envia os URLs dos sites que você visita e uma pequena amostra de conteúdo da página, downloads, atividade da extensão e informações do sistema para os serviços de segurança com tecnologia de IA do Google.
É difícil saber exatamente o que o Google quer dizer com “atividade da extensão”. Mas, possivelmente, agora que o Google está ciente da ameaça de extensão polimórfica, seus modelos de segurança foram treinados para procurar uma combinação de comportamentos polimórficos.
O que as empresas devem fazer?
As empresas devem educar a si mesmas e seus usuários sobre os perigos potenciais das extensões polimórficas. Se as organizações não estão gerenciando centralmente a configuração de todos os navegadores em todos os sistemas de usuários finais, agora é um bom momento para começar. Converter “seus navegadores em navegadores gerenciados e garantir que apenas extensões na lista branca possam ser instaladas”.
Além disso, um gerente de TI pode impor várias das opções mencionadas acima para indivíduos por meio do console centralizado de gerenciamento de navegador.
As organizações também devem considerar exercícios de modelagem de ameaças que abordem as extensões que elas permitem em dispositivos corporativos para ter uma compreensão abrangente do que elas realmente fazem (em comparação com o que elas dizem fazer) e as ameaças potenciais associadas às permissões das extensões se forem usadas para fins maliciosos.
As organizações devem “instalar proteção de endpoint ou ferramentas de segurança do navegador que podem detectar extensões maliciosas.”
O que os fabricantes de navegadores como o Google devem fazer?
Quando se trata de fiscalizar a Chrome Web Store, o Google está em uma posição difícil. Infelizmente, o Google não pode impedir que todas as extensões acessem determinadas APIs de superpoder do navegador. Enquanto certas extensões legítimas precisam acessar esses chamados superpoderes, esses mesmos poderes não devem ser úteis para outras extensões. Enquanto isso, os usuários comuns muitas vezes ficam com a tarefa impossível de tomar uma decisão no momento em que uma extensão está sendo instalada.
Na documentação para desenvolvedores do Chrome, o Google aconselha rotineiramente os desenvolvedores a solicitar apenas as permissões minimamente necessárias para a funcionalidade central de suas extensões, dando aos usuários a opção de aprovar permissões opcionais para habilitar recursos adicionais da extensão.
A ideia geral é iniciar os usuários de extensões com um conjunto de permissões e, gradualmente, expô-los a novos recursos que podem exigir permissões adicionais ao longo do caminho. Para esse fluxo de trabalho específico, o Google fornece um exemplo de como uma extensão pode solicitar permissões adicionais.
Embora o exemplo não o mostre (achamos que deveria), esta teria sido a oportunidade perfeita para a extensão de amostra explicar (como o Google sugere) o propósito da solicitação de permissão adicional (talvez com texto que apareça no espaço em branco abundante).
O que realmente está errado com o fluxo de trabalho de exemplo do Google é que ele é puramente opcional. Em vez disso, os desenvolvedores de extensões podem solicitar quantas permissões quiserem no momento em que uma extensão é instalada. Nesse fluxo de trabalho, não há oportunidade de os desenvolvedores modificarem os diálogos padrão do Chrome para oferecer uma justificativa para cada permissão solicitada ou para dar aos usuários a opção de desaprovar permissões opcionais.
Estamos imaginando algo com o tipo de fidelidade oferecida por um formulário de consentimento de cookies.
Algumas permissões poderiam ser marcadas como necessárias, outras como opcionais, e os usuários poderiam ativá-las ou desativá-las com base em sua compreensão da explicação e suas expectativas da funcionalidade da extensão.
