Uma recente investigação de segurança revelou que cerca de um milhão de navegadores, em todo o mundo, foram involuntariamente convertidos em ferramentas de scraping de websites devido à instalação de extensões aparentemente inofensivas.
Estas extensões, disponíveis para Chrome, Firefox e Edge, estavam a utilizar uma biblioteca chamada MellowTel-js, que permite aos desenvolvedores monetizar as suas criações à custa da privacidade dos utilizadores.
Como as extensões transformam browsers em autênticos bots
O relatório, conduzido por John Tuckner da SecurityAnnex, detalha que 245 extensões diferentes, cobrindo funcionalidades tão variadas como gestão de favoritos, aumento do volume do altifalante ou geração de números aleatórios, tinham em comum a integração da MellowTel-js. Esta biblioteca, segundo Tuckner, serve de ponte para o serviço Olostep, uma empresa que oferece scraping de websites a clientes dispostos a pagar pelo acesso a dados públicos.
O funcionamento é simples, mas preocupante: os clientes da Olostep indicam os sites que pretendem aceder, e o serviço utiliza a rede de browsers com extensões infetadas para visitar e recolher a informação pretendida, contornando facilmente sistemas de proteção contra bots. Segundo a Olostep, o serviço consegue paralelizar até 100 mil pedidos em poucos minutos, tornando-se extremamente eficaz para quem procura recolher grandes volumes de dados.
Fragilidades na segurança e privacidade dos utilizadores
O impacto para o utilizador comum é significativo. Ao instalar estas extensões, o browser passa a comunicar com servidores externos, enviando dados como localização, largura de banda disponível e estado da extensão. Além disso, a biblioteca injeta iframes invisíveis nas páginas visitadas, carregando websites indicados remotamente, sem qualquer controlo ou conhecimento do utilizador.
Esta manipulação contorna as proteções normais dos navegadores, como cabeçalhos de segurança (Content-Security-Policy e X-Frame-Options), porque as permissões concedidas às extensões permitem a modificação dinâmica das respostas dos servidores. Esta fragilidade abre portas a ataques como cross-site scripting e expõe os utilizadores a riscos acrescidos, tanto em termos de privacidade como de segurança.
Reação das plataformas e situação atual das extensões
Após a divulgação do relatório, algumas extensões foram removidas das lojas oficiais por serem consideradas maliciosas, enquanto outras optaram por eliminar a biblioteca problemática nas versões mais recentes. Ainda assim, a dimensão do problema é significativa: das 245 extensões identificadas, apenas uma pequena parte foi desativada ou corrigida até ao momento.
O caso recorda outros incidentes, como o de 2019, em que extensões recolhiam todos os dados de navegação dos utilizadores e os vendiam a terceiros, expondo informações sensíveis como documentos fiscais, mensagens privadas e até dados empresariais confidenciais.
Num ambiente digital cada vez mais dependente de extensões e ferramentas de terceiros, esta situação serve de alerta para a importância de rever cuidadosamente as permissões concedidas e de manter os navegadores e extensões sempre atualizados.
Outros artigos interessantes:
