TLDR

  • Le estensioni browser non sono accessori: sono software con permessi dentro il punto in cui fai login, lavori e amministri servizi.
  • StegoAd mostra una campagna Edge con 119 estensioni rimosse, payload nascosti in immagini e font, furto credenziali e ad fraud.
  • BadBlocker mostra il rischio architetturale di un ad blocker con molti install e capacità di script injection controllata da regole remote.
  • La difesa è inventario, pochi permessi, publisher verificati, separazione dei profili e rimozione periodica di ciò che non serve.

Perché conta ora

Le estensioni browser hanno un problema di reputazione al contrario.

Sembrano piccole. Una per bloccare pubblicità, una per tradurre pagine, una per scaricare video, una per sistemare screenshot, una per cambiare tema. L'utente le installa come se fossero adesivi sul browser.

Tecnicamente, però, alcune estensioni sono molto più vicine a un endpoint agent che a un gadget.

Vivono nel punto in cui passano cookie, form di login, email, pannelli admin, CRM, dashboard cloud, home banking, password manager web, WordPress, tool interni e sessioni aziendali. Se hanno permessi larghi, non guardano "il browser". Guardano la tua giornata operativa.

Negli ultimi report il messaggio è diventato netto: il browser non è solo un client. È una piattaforma di esecuzione. Le estensioni sono la sua supply chain.

Due storie diverse, stessa lezione

Microsoft ha descritto StegoAd, una campagna su Edge Add-ons con 119 estensioni rimosse e fino a 2,6 milioni di installazioni potenziali. Le estensioni imitavano categorie normali: ad blocker, VPN, traduttori, downloader video. Facevano anche quello che promettevano, così accumulavano fiducia.

Poi entrava la parte cattiva: dormienza di alcuni giorni, controlli anti-analisi, payload nascosti in immagini e font, domini di comando e controllo, furto di credenziali, raccolta cookie, ad fraud e possibilità di eseguire ulteriore codice.

Island ha invece analizzato un caso diverso: un ad blocker Chrome molto popolare, con oltre 10 milioni di installazioni secondo The Hacker News e 11 milioni secondo il report originale, che esponeva una capacità rischiosa di script injection controllabile da configurazione remota. Qui il punto importante è una distinzione: la ricerca non diceva "payload malevolo distribuito agli utenti", ma "architettura pericolosamente potente".

Sono due storie diverse. Una è una campagna malevola. L'altra è un rischio architetturale.

La lezione è la stessa: quando un'estensione ha accesso ampio e una parte della logica dipende da regole remote, la fiducia non sta più solo nello store. Sta anche nel backend, nel publisher, nella catena di update e nei controlli che impediscono alla configurazione di diventare codice eseguibile.

Il permesso che dovrebbe farti rallentare

Nel mondo delle estensioni, il segnale da guardare è l'accesso ai siti.

Chrome documenta diverse famiglie di permessi: permessi API, permessi opzionali, content script, host permissions. Alcuni cambiamenti generano avvisi, ma l'utente medio raramente sa tradurre quell'avviso in rischio reale.

Il caso più delicato è l'accesso molto ampio, per esempio l'equivalente di "tutti i siti". Un ad blocker può avere motivi tecnici legittimi per chiedere visibilità ampia: deve filtrare richieste, nascondere elementi, intervenire su pagine che cambiano spesso. Il problema non è automaticamente il permesso.

Il problema è la combinazione.

  • accesso a molti siti;
  • regole aggiornate da remoto;
  • esecuzione in pagina;
  • publisher poco chiaro;
  • proprietà cambiata nel tempo;
  • codice offuscato;
  • funzionalità reale che abbassa la diffidenza;
  • store review che guarda un pacchetto in un momento specifico, non ogni possibile configurazione futura.

Quando questi pezzi si sommano, "funziona bene" non basta più.

Perché le estensioni malevole resistono

Le campagne migliori non sembrano rotte. Sembrano utili.

Un'estensione che apre popup sospetti al primo avvio viene rimossa in fretta. Una che fa davvero il suo lavoro, aspetta giorni, attiva il payload solo su una percentuale di installazioni, controlla user agent, evita DevTools e nasconde codice in asset innocui è molto più difficile da vedere.

StegoAd è interessante proprio per questo: il payload non doveva presentarsi come file JavaScript ovvio. Poteva essere nascosto in immagini PNG, poi in WebP, poi in font WOFF2. L'immagine si renderizza. Il font sembra un font. Lo scanner statico vede materiale normale. La logica cattiva emerge solo quando le condizioni sono giuste.

Questa è una bella brutta lezione per chi pensa alla sicurezza come fotografia. Le estensioni sono filmati: cambiano dopo l'installazione, ricevono update, parlano con server, modificano comportamento.

Il browser come admin panel universale

Una volta bastava dire: "Non installare programmi strani".

Oggi spesso il programma strano non sembra un programma. È un'estensione con icona carina e migliaia di recensioni.

Il danno può essere molto più serio di qualche pubblicità iniettata:

  • furto di cookie e sessioni;
  • furto di credenziali durante il login;
  • lettura di pagine aperte;
  • modifica del contenuto mostrato;
  • redirect verso pagine affiliate o phishing;
  • raccolta cronologia;
  • accesso a pannelli WordPress;
  • osservazione di dashboard SaaS e strumenti aziendali;
  • abuso di profili già autenticati.

È qui che il rischio privacy diventa rischio operativo. Se lavori da browser, amministri da browser e paghi da browser, una cattiva estensione non è "nel browser". È tra te e quasi tutto.

Regole pratiche per utenti

Apri chrome://extensions o edge://extensions e guarda la lista come guarderesti i programmi installati sul sistema.

Togli tutto ciò che non usi da mesi. Le estensioni dimenticate sono debito di sicurezza con un'icona.

Poi controlla tre cose:

  1. Publisher: è riconoscibile, verificabile, coerente?
  2. Permessi: chiede accesso a tutti i siti quando dovrebbe funzionare su uno solo?
  3. Comportamento: ha iniziato a mostrare redirect, nuove tab, notifiche, annunci strani o rallentamenti?

Per account sensibili usa profili separati. Un profilo pulito per banca, PEC, cloud admin, WordPress e pannelli di produzione vale più di molte promesse di "sicurezza totale". Se lì non installi estensioni, hai già tolto molto rumore.

Se un'estensione viene rimossa dallo store o dal browser, non limitarti a dire "ok". Cambia password sugli account più sensibili, controlla attività recenti, invalida sessioni dove possibile e abilita FIDO2/passkey o 2FA robusta.

Regole pratiche per team

Per un team, la domanda non è "gli utenti installano estensioni?". La risposta è sì.

La domanda vera è: quali, dove e con che permessi?

Checklist minima:

  • inventario estensioni su Chrome, Edge e browser alternativi;
  • allowlist per ruoli sensibili;
  • blocklist per categorie ad alto rischio;
  • profili separati per amministrazione;
  • policy per impedire estensioni non approvate su device gestiti;
  • monitoraggio di estensioni rimosse dagli store;
  • playbook per cambio password e revoca sessioni;
  • formazione specifica sui permessi, non solo "attenzione al phishing".

La parte importante è non trattare l'estensione come gusto personale dell'utente. In un ambiente aziendale, un'estensione con accesso a tutti i siti è una decisione di sicurezza.

Il dettaglio Able2Code

Gli store sono utili, ma non sono magia.

Una recensione positiva dice che qualcosa funziona. Non dice che resterà sano. Un badge dice che qualcuno ha superato un controllo. Non dice che l'architettura non può essere abusata domani. Un update automatico è comodo. Non dice che ogni cambiamento remoto è innocuo.

Il browser è diventato il nuovo desktop.

Le estensioni sono i suoi driver.

E un driver installato con leggerezza può leggere molto più di quanto immagini.

FAQ

Le estensioni Chrome ed Edge sono davvero così pericolose?

Possono esserlo se hanno permessi estesi. Un'estensione con accesso a tutti i siti può osservare pagine, URL, form, sessioni e pannelli interni, soprattutto se combina content script, regole remote e aggiornamenti automatici.

Un'estensione con tante recensioni è sicura?

No. Recensioni, anni di presenza nello store e funzionalità reale riducono alcuni dubbi, ma non eliminano rischi di cambio proprietà, update malevoli, dipendenze remote o permessi eccessivi.

Che cos'è StegoAd?

È una campagna descritta da Microsoft in cui estensioni Edge apparentemente utili nascondevano payload in immagini e font, con dormienza, evasione e capacità di furto credenziali o ad fraud.

Che cos'è BadBlocker?

È il nome usato da Island per analizzare un ad blocker Chrome molto installato con un'architettura che poteva abilitare script injection tramite configurazione lato server. La ricerca non indicava payload malevoli osservati, ma una capacità rischiosa.

Cosa devo controllare subito?

Apri la pagina delle estensioni del browser, rimuovi quelle inutili, controlla publisher e permessi, disattiva l'accesso a tutti i siti dove non serve e usa profili separati per banca, lavoro e amministrazione.

Fonti