Pesquisadores da Symantec alertaram para riscos significativos de privacidade e segurança em diversas extensões populares do Google Chrome. Muitas delas estão transmitindo dados sensíveis por conexões HTTP não criptografadas e contêm credenciais codificadas diretamente no código-fonte, o que abre brechas para exploração por cibercriminosos.
Entre as extensões afetadas estão SEMRush Rank, PI Rank, Browsec VPN, MSN New Tab e DualSafe Password Manager. Elas vazam informações como IDs de máquina, sistema operacional, dados de uso e até informações de desinstalação, tudo em texto simples. Esse tipo de tráfego é altamente vulnerável a ataques do tipo “adversário no meio” (AitM), em que atacantes em redes públicas, como Wi-Fi, podem interceptar e manipular os dados.
Além disso, extensões como AVG Online Security, Equatio e Trust Wallet armazenam chaves de API e tokens diretamente no código JavaScript. Esses dados podem ser usados para inflar custos de serviços em nuvem, falsificar dados de telemetria, enviar comandos não autorizados ou até hospedar conteúdo malicioso, comprometendo tanto usuários quanto os próprios desenvolvedores.
O caso mais preocupante envolve o uso da biblioteca InboxSDK, presente em mais de 90 extensões, que carrega credenciais embutidas. Especialistas recomendam que os desenvolvedores evitem o armazenamento de segredos no lado do cliente, adotem HTTPS em todas as comunicações e façam a rotação frequente de chaves. Usuários, por sua vez, devem considerar remover extensões afetadas até que as falhas sejam corrigidas.
