El círculo vicioso de las extensiones: Chrome Web Store teje una red de peligros

Un grupo de científicos de Stanford y del Centro CISPA Helmholtz de Seguridad de la Información llevó a cabo un análisis de las extensiones para el navegador Chrome. Los resultados cuestionan las recientes afirmaciones de Google sobre la seguridad de Chrome Web Store.

Representantes de Google aseguran que en 2024 menos del uno por ciento de todas las instalaciones desde su tienda contenían software malicioso. Sin embargo, la investigación realizada por Sheryl Su, Manda Tran y Aurore Fass pinta un panorama mucho más preocupante.

Según el estudio, que se presentará en la conferencia ASIA CCS '24 en julio, en los últimos tres años más de 346 millones de usuarios han instalado las llamadas Extensiones de Seguridad Destacables (SNE, por sus siglas en inglés). De estas, 280 millones de instalaciones correspondieron a software malicioso, 63 millones a programas que violaban las políticas de Chrome Web Store, y 3 millones a aplicaciones vulnerables.

Los investigadores analizaron datos de extensiones de Chrome disponibles desde el 5 de julio de 2020 hasta el 14 de febrero de 2023. En ese momento, Chrome Web Store contaba con casi 125,000 productos. Se descubrió que estos programas suelen tener una vida útil muy corta: solo el 51.86–62.98% permanecen disponibles un año después de su publicación.

Sin embargo, las extensiones maliciosas resultaron ser sorprendentemente duraderas. En promedio, las SNE con malware permanecen disponibles 380 días, y las extensiones con código vulnerable, 1248 días. El récord lo ostenta la aplicación "TeleApp", que permaneció en la tienda durante 8.5 años tras la detección de la amenaza. La última vez que se actualizó fue el 13 de diciembre de 2013, y el código malicioso se encontró el 14 de junio de 2022.

Los científicos también señalaron la ineficacia del sistema de calificación de la tienda. Las valoraciones de los usuarios para las SNE maliciosas no difieren significativamente de las de productos seguros. Los autores sugieren que los bots podrían estar creando opiniones falsas, pero dado que la mitad de las SNE no tienen opiniones, parece que este fenómeno no es tan común.

La falta de actualizaciones regulares es otro problema serio: casi el 60% de las extensiones nunca se han actualizado. Esta situación las priva de mejoras críticas de seguridad, incluidas las previstas en la plataforma actualizada Manifest v3. Los investigadores descubrieron que al menos 78 de los 184 programas analizados (42%) siguen disponibles en Chrome Web Store y mantienen vulnerabilidades incluso dos años después de que se hiciera pública la información sobre ellas.

Muchas extensiones utilizan bibliotecas de JavaScript inseguras. Aproximadamente en una de cada tres extensiones (unas 40,000) se encontraron bibliotecas con problemas conocidos. Se identificaron más de 80,000 casos de uso de dicho código, lo que amenaza la seguridad de casi 500 millones de usuarios.

Los autores del estudio aconsejan a Google que inspeccione más minuciosamente las extensiones y monitoree la similitud del código en diferentes complementos. Esto ayudaría a evitar la propagación de errores al copiar. Un ejemplo claro: alrededor de 1000 extensiones están basadas en el proyecto de código abierto Extensionizr. De estas, el 65-80% todavía contienen versiones problemáticas de bibliotecas que estaban en este instrumento hace seis años.

Sheryl Su, coautora del estudio, destacó en una entrevista que la seguridad de las extensiones ha mejorado en comparación con la situación de hace diez años, cuando apenas comenzaban a aparecer. Ella propone marcar las extensiones que no se han actualizado o que contienen bibliotecas vulnerables, pero advierte contra sacar conclusiones apresuradas. La falta de actualizaciones no hace que una extensión sea peligrosa, y la presencia de una biblioteca problemática no significa necesariamente que los atacantes puedan explotarla.

Se subraya la dificultad de proporcionar a los usuarios información precisa para que puedan tomar decisiones informadas. Muchos no tienen conocimientos técnicos y no pueden encontrar tiempo para profundizar en estos temas. La investigadora también espera que Google desactive pronto el soporte para Manifest v2, lo que debería ayudar a resolver algunos de los problemas identificados.

Se espera que las extensiones de Chrome basadas en Manifest v2 dejen de funcionar en la versión estable de Chrome a principios de 2025, si no hay más retrasos. Este cambio, junto con otras medidas para reforzar el control y el apoyo a los desarrolladores, podría mejorar significativamente la seguridad del ecosistema de extensiones de Chrome.