/https://www.html.it/app/uploads/2025/03/estensione-chrome-malevole.jpg "Estensione Chrome malevole: attacca i gestori delle password")
Una nuova e sofisticata tecnica di attacco "polimorfico" sta mettendo a rischio la sicurezza degli utenti di Chrome. Questo attacco, ideato da SquareX Labs, consente a estensioni malevoli di mascherarsi da altre estensioni legittime, inclusi gestori di password, portafogli di criptovalute e app bancarie, per sottrarre informazioni sensibili.
Il funzionamento di questo attacco è legato a una vulnerabilità di Chrome che permette a un'estensione malevola di trasformarsi in una copia di un'altra, legittima. Il processo inizia con la pubblicazione di un'estensione dannosa sul Chrome Web Store, che inizialmente appare come uno strumento innocuo, ad esempio un'app di marketing basata sull'intelligenza artificiale. Una volta che l'estensione viene installata, essa utilizza l'API 'chrome.management' per ottenere l'elenco delle altre estensioni presenti nel browser.
Se non ha l'autorizzazione per accedere a questa lista, può comunque iniettare risorse sulle pagine web visitate dalla vittima. Quando l'estensione malevola riesce a identificare un'applicazione mirata, come ad esempio un gestore di password, invia una richiesta al server controllato dall'attaccante e si trasforma in quella specifica estensione.
Esempi dimostrativi
In un esempio dimostrativo di SquareX, gli aggressori sono riusciti a impersonare l'estensione di 1Password, un noto gestore di password. In questo caso, l'estensione malevola disabilita o nasconde l'estensione legittima, modifica l'icona per imitarne una simile a quella di 1Password e visualizza un falso popup di login che riproduce perfettamente l'interfaccia autentica.
Il vero pericolo si manifesta quando l'utente tenta di accedere a un sito web: il falso popup mostra un messaggio che informa l'utente che la sessione è scaduta e lo invita a reinserire le proprie credenziali. Attraverso un modulo di phishing, queste informazioni vengono rubate e inviate all'attaccante. Dopo aver ottenuto le credenziali, l'estensione malevola ritorna al suo aspetto originale, ripristinando l'estensione legittima.
Per contrastare questa minaccia, SquareX suggerisce a Google di adottare misure di sicurezza più rigide, come bloccare modifiche sospette alle icone e al codice HTML delle estensioni installate, oppure notificare gli utenti quando queste modifiche si verificano. Purtroppo, al momento non esistono difese adeguate contro questa forma di impersonificazione. Inoltre, l'uso dell'API 'chrome.management', classificata da Google come "rischio medio", è un punto debole sfruttato da molte estensioni popolari.
/https://www.html.it/app/uploads/2025/03/Chrome-3.jpg)
/https://www.html.it/app/uploads/2025/03/Chrome-2.jpg)
/https://www.html.it/app/uploads/2025/03/Chrome-1.jpg)
/https://www.html.it/app/uploads/2025/03/Chrome.jpg)