En los navegadores basados en Chromium, en los que se incluye el conocido Google Chrome, se incluye la posibilidad de incluirles extensiones creadas por los usuarios, que permiten complementar las funciones del navegador. Hace unos meses publiqué las que yo tenía instaladas dedicadas a la seguridad.
Cuando desarrollamos una extensión, tenemos la posibilidad de hacer que se inyecte un código Javascript o CSS en todas las páginas que queramos. Esto puede ser aprovechado por una atacante, y es lo que voy a mostrar hoy.
Vengo a hablar de chrome-pass-stealer, una extensión libre y de código abierto que, al ser instalada, nos envía todas las contraseñas que introduce la víctima a un servidor remoto que tenemos configurado de antemano.
Este es un video que muestra la instalación del servidor atacante, la empaquetación a CRX y el funcionamiento del complemento:
Espero que esto concientice a los usuarios, y que no instalen cualquier extensión que vean. Como acabo de demostrar, es muy sencillo hacer algo maligno, y si el usuario no toma las precauciones necesarias pordría recibir un ataque.
Uno de los casos más conocidos fue el de la extensión de Cuevana para Firefox, un sitio para ver series y películas online, sin necesidad de descargarlas. Este complemento estaba infectado (según los desarrolladores de Cuevana ellos no tuvieron nada que ver) y robaba cuentas hasta de Paypal.
Recomiendo ver los permisos que tiene cada extensión que instalamos, y verificar que no sean excesivos. Si queremos, por ejemplo, un notificador de Gmail verificamos que solamente tenga acceso a Gmail y no a todas las páginas (esto hace chrome-pass-stealer), ya que es bastante sospechoso.
También recomiendo inhabilitar las extensiones que no necesitemos, o usar el modo incógnito en el que se suelen desactivar temporalmente.
Saludos!