Secondo quanto scoperto dal ricercatore John Tuckner di SecurityAnnex, 245 estensioni browser sono state utilizzate per trasformare i browser in strumenti di scraping e sorveglianza, agendo a beneficio di una rete commerciale gestita da un’azienda chiamata Olostep. Di allarmante c'è che le estensioni, complessivamente, sarebbero state installate su almeno 1 milione di PC.
Alla base dell’operazione c’è MellowTel-js, una libreria JavaScript open source integrata in estensioni all’apparenza innocue, come gestori di segnalibri, strumenti di copia/incolla o generatori di numeri casuali. Secondo Tuckner, MellowTel è collegata direttamente a Olostep, un servizio che offre scraping su larga scala, promettendo ai clienti l’accesso a siti web eludendo i sistemi anti-bot.
Il sistema funziona in modo subdolo: gli utenti che installano le estensioni diventano, senza saperlo, “nodi attivi” che inviano richieste a siti web indicati dai clienti di Olostep. Tutto questo avviene in background. Nulla di grave? Beh, insomma, perché oltre a incidere sulle prestazioni del computer, questo sistema lasciava gli utenti a possibili minacce informatiche più grosse.
MellowTel disattiva le protezioni di sicurezza dei browser, come Content-Security-Policy e X-Frame-Options. In questo modo può iniettare iframe invisibili nelle pagine visitate, aprendo connessioni verso siti remoti, seguendo le istruzioni ricevute da un server AWS. L’estensione raccoglie anche informazioni sensibili: posizione, banda, frequenza di utilizzo e molto altro.
Così facendo, l'estensione apre le maglie di sicurezza del browser, consentendo a potenziali malintenzionati di sferrare attacchi ancora più insidiosi e devastanti. A questo si aggiunge il fatto che l'utente non ha il minimo modo di sapere quali siti esterni stia aprendo l'estensione. Se da una parte sappiamo che Olostep è motivata da scopi puramente economici, dall'altra nulla vieta che uno dei siti visitati dall'estensione sia stato compromesso, esponendo ancora una volta l'utente a rischi tutto fuorché trascurabili.
La questione sembra ben lungi dall'essere stata risolta: solo una piccola minoranza delle estensioni segnalate da Tuckner sono state disattivate (mentre altre sono state aggiornate per correggere il problema). Una lista completa delle estensioni affette è disponibile a questo link.
Kai Cenat gives Nicki Minaj advice on joining Twitch amid Kick interest