Estensioni browser trasformano la sicurezza: il caso MellowTel-js e Olostep

Un nuovo caso di estensioni browser che spiano gli utenti sta scuotendo il mondo della sicurezza informatica, mettendo in luce le fragilità di un ecosistema sempre più popolato da strumenti apparentemente innocui ma in realtà capaci di trasformare milioni di dispositivi in nodi di una rete globale di scraping siti web.

Secondo una recente indagine, sarebbero ben 909.000 i dispositivi coinvolti, distribuiti su una rete composta da 245 estensioni disponibili per Chrome, Firefox ed Edge. Queste estensioni, spesso pubblicizzate come semplici utility per migliorare l’esperienza di navigazione, celavano al loro interno un sofisticato meccanismo di raccolta dati orchestrato da una libreria open source chiamata MellowTel js.

Le dichiarazioni del fondatore di MellowTel

Il fondatore di MellowTel, la società che ha sviluppato la controversa libreria, ha dichiarato che l'obiettivo è condividere la banda degli utenti senza inserire pubblicità invasive o raccogliere dati personali

. Tuttavia, le rivelazioni portate alla luce da John Tuckner di SecurityAnnex raccontano una storia ben diversa, fatta di monetizzazione estensioni e di un uso massiccio e inconsapevole delle risorse degli utenti per alimentare le attività di terzi. Il fulcro dell’operazione risiede proprio nell’integrazione di MellowTel js all’interno di estensioni che, almeno in apparenza, si limitano a gestire segnalibri, potenziare l’audio o offrire altre funzioni comuni.

Un meccanismo controverso

Il meccanismo di funzionamento è tanto ingegnoso quanto controverso. Una volta installata una delle estensioni infette, il browser dell’utente viene arruolato in una vasta rete di proxy controllata dalla società Olostep. Quest’ultima, attraverso un modello commerciale ben rodato, vende ai propri clienti la possibilità di accedere a contenuti web specifici, sfruttando la potenza della rete di utenti inconsapevoli per aggirare i sistemi anti-bot implementati da molti siti.

In pratica, quando un cliente di Olostep richiede di effettuare operazioni di scraping siti web, la richiesta viene distribuita in parallelo a migliaia di browser collegati tramite le estensioni, permettendo così di eseguire fino a 100.000 richieste in pochi minuti.

Il mancato consenso degli utenti

L’analisi approfondita del codice delle estensioni ha rivelato che il traffico generato da queste operazioni passa direttamente attraverso i dispositivi degli utenti, senza che questi abbiano fornito alcun consenso esplicito.

La gravità della situazione risiede nel fatto che, sebbene il sistema sia teoricamente progettato per accedere solo a dati pubblicamente disponibili, la trasparenza e il rispetto delle aspettative degli utenti risultano gravemente compromessi. In particolare, la mancanza di un’informativa chiara e di un controllo effettivo da parte degli utenti pone seri interrogativi sullo stato attuale della privacy online.

Monetizzazione delle estensioni

Il modello di monetizzazione delle estensioni adottato prevede una suddivisione dei ricavi generati: il 55% viene riconosciuto agli sviluppatori delle estensioni, mentre il restante 45% rimane a MellowTel. Questo sistema incentiva la diffusione della libreria tra un numero sempre maggiore di sviluppatori, ampliando ulteriormente la rete di dispositivi coinvolti e alimentando il circolo vizioso della raccolta dati non autorizzata.