Bad-On: aiutanti pericolosi

Scaricare video e musica con un clic, aumentare la velocità di navigazione o bloccare le pubblicità fastidiose. Firefox e Chrome sono così popolari perché consentono di integrare ingegnose funzioni aggiuntive nei browser con pochi clic: a rendere possibile ciò sono delle piccole estensioni. Ma c’è qualcosa che molti non sanno. Gli add-on rappresentano un pericolo enorme.

Chi installa un add-on nel browser, di solito si compiace delle intelligenti funzionalità aggiuntive e degli interessanti extra. Ma ciò che fanno esattamente i piccoli aiutanti in background, rimane un mistero. Proprio per questo vengono installati volentieri con spensieratezza e ingenuità. Gli utenti si fidano delle fonti di download “ufficiali” apparentemente sicure “Add-Ons Manager” (Firefox) o Chrome Web Store. Inoltre, uno scanner antivirus aggiornato culla gli utenti in un clima di perfetta sicurezza. Ma con ogni add-on si fa entrare in casa propria un ospite che può abilmente nascondere le sue vere intenzioni.  Esempio di Adblock Plus: il popolare blocco annunci può leggere e modificare tutti i dati privati, come le password digitate, su tutte le pagine visitate. Infatti, proprio come molti altri componenti aggiuntivi, Adblock Plus gode degli stessi diritti del browser stesso. Queste capacità rendono tali componenti un gateway perfetto per i trojan che rubano le password.

Mini-programmi e maxi-diritti

L’insidia di questo meccanismo: dato che gli add-on sono “solo” estensioni per programmi già installati, possono essere aggiunti semplicemente con un clic, senza nemmeno bisogno dei diritti di amministratore. Inoltre, in quanto estensioni di un programma principale, non vengono bloccati da Windows Firewall né esaminati dallo scanner antivirus. A quanto pare Google è ben consapevole di queste circostanze. Dopotutto, il produttore di Chrome segnala che la privacy non è sicura con i componenti aggiuntivi attivati. Solo nella “modalità incognito”, utilizzata per la navigazione anonima, il browser taglia la corrente a tutti gli add-on. Se ne conclude che in modalità normale l’utente è esposto al pericolo di spionaggio: si sono già verificati casi in cui gli add-on hanno sfruttato le vulnerabilità di sicurezza.

In attesa del giorno X

Finora si conoscono solo pochi attacchi di questo tipo, ma è più che probabile che prima o poi i criminali informatici prenderanno sempre più spesso questa strada. Potrebbero fare qualcosa del genere: sezionano un add-on popolare con diritti estesi, interessandosi in particolare al codice scritto nel linguaggio di programmazione JavaScript. Qui cercano un posto che consenta di ricaricare i dati. Una volta trovato, il codice viene manipolato. I criminali iniettano, tramite un nome di dominio fasullo il più possibile simile a quello del produttore, un codice maligno controllabile a distanza.  Ecco fatto il “bad-on”. All’inizio i cyber-criminali lasciano lo script contenuto nell’add-on in “modalità sospensione”, in modo che passi del tutto inosservato e non venga quindi rilevato. Ora tutto quello che i ladri devono fare è diffondere tra la gente la versione falsificata dell’add-on, ad esempio come download da siti web. A questo punto ai criminali online non resterebbe che aspettare di vedere cosa succede. Solo quando il maggior numero possibile di utenti ha installato l’estensione ci sarebbe di nuovo un po’ di movimento: è l’ora di impostare l’add-on in modalità “cattiva”. Basterebbero pochi minuti per impossessarsi di innumerevoli dati di accesso. Dopo aver fatto un bel bottino, disattivano nuovamente la funzione di protocollo nascondendo così il crimine.

Online banking nel mirino

Una cosa è certa: il bottino varrebbe la pena. Perfino standard di sicurezza elevati come SSL e TLS sarebbero inefficaci. Ciò significa che questo metodo consentirebbe di impossessarsi delle credenziali di accesso di ogni account Internet. Sarebbero possibili perfino attacchi ai sistemi di online banking. Ad esempio, il componente aggiuntivo potrebbe inviare un TAN non alla banca, ma al server dei criminali. Armati di dati di accesso e TAN, nulla impedirebbe ai delinquenti di effettuare un consistente bonifico sul proprio conto. Questo sistema rappresenterebbe un grosso problema anche per i migliori programmi di sicurezza. Infatti, quando l’utente si registra a un servizio Internet e il trojan è attivato, i dati di login vengono scritti in parallelo in un file centrale, che può essere letto subito dopo. Gli scanner antivirus sono impotenti in questo caso, perché non rilevano alcuna prova di manipolazione.

Come contrastare i bad-on

Anche se non promettono il 100% di sicurezza, come utenti avete solo le seguenti opzioni per proteggervi:

  • Installate add-on solo da fonti di download il più sicure possibile, come “Add-Ons Manager” (Firefox) o Chrome Web Store.
  • Non aggiungete al browser troppe estensioni, ma solo le più importanti. Così si evita di ridurre le prestazioni e si diminuisce anche il rischio di potenziali attacchi.
  • Se un’estensione installata richiede improvvisamente una nuova autorizzazione, dovrebbe suonare il campanello di allarme.

Per il resto sono i produttori dei browser a essere chiamati in causa. Questi devono assicurarsi che gli add-on siano autorizzati a contattare solo determinati server. Ciò impedirebbe ai pirati informatici di ricaricare il codice dannoso tramite server di terze parti.

Questo articolo è disponibile anche in: IngleseTedescoFrancese