De asistente a espía: un popular complemento de Chrome traiciona a 500.000 usuarios

La extensión Hide YouTube Shorts para Chrome cambió inesperadamente de propietario y se volvió maliciosa. La investigación reveló que ahora el complemento lleva a cabo fraude de programas de afiliados y envía datos de las acciones de los usuarios a un servidor de AWS.

Además de este complemento, se encontraron otras 11 extensiones desarrolladas por las mismas personas, que contienen funciones maliciosas similares o están en una zona de riesgo potencial. Entre ellas se encuentra Karma Shopping (más de 500.000 usuarios) de Karma Shopping Ltd., una empresa fundada en 2013 que cuenta con inversiones significativas.

Las extensiones se volvieron maliciosas después de la transferencia de derechos a mediados de 2023. Las actualizaciones posteriores incluyeron un mecanismo de recopilación de datos, del cual los usuarios no fueron informados. Algunos comentarios en la página de la extensión Hide YouTube Shorts en Chrome Web Store indican la posibilidad de redireccionamientos a sitios de phishing, lo que confirma las sospechas sobre las intenciones poco éticas del nuevo desarrollador.

En muchos casos, se añadieron al código funciones de seguimiento de acciones de los usuarios o inserción de etiquetas de afiliación. Algunas extensiones requieren permisos adicionales para la recopilación de datos, mencionando razones ficticias. La funcionalidad maliciosa opera de manera oculta y se activa con un retraso para evitar la detección. El fraude de afiliación de estos complementos está dirigido a generar ganancias utilizando el dominio "kra18[.]com", que, dependiendo del sitio visitado, reemplaza los enlaces con enlaces de referencia.

La extensión Karma es especialmente preocupante. Su desarrollador especificó en la política de privacidad que recopila y vende datos anónimos sobre el comportamiento de los usuarios. Sin embargo, el análisis del código mostró que la información transmitida contiene identificadores únicos, lo que cuestiona el nivel de anonimato. En particular, Karma tiene la capacidad de rastrear visitas a sitios considerando varias pestañas del navegador, lo que, en contra de los principios declarados, permite reconstruir fácilmente las acciones de un usuario específico.

Además, la empresa Karma Shopping Ltd. ha estado buscando activamente oportunidades para comprar extensiones, ofreciendo a sus desarrolladores entre $0,2 y $1 por usuario activo. Esto sugiere que el objetivo de la extensión Karma es aumentar la cantidad de usuarios para obtener comisiones de afiliados y expandir el volumen de datos recopilados para investigaciones de mercado.

En la política de privacidad de Karma se indica que los datos pueden ser utilizados para investigaciones de mercado y vendidos a socios de forma anónima. Sin embargo, aunque parece legal, el método de recopilación de datos viola el GDPR: el consentimiento para el procesamiento de datos de los usuarios no se solicita adecuadamente y la información recopilada no es anónima, lo que permite reconstruir las acciones de usuarios específicos.

La postura de Google es particularmente alarmante. A pesar de la existencia de un formulario de denuncias, sus funciones son limitadas y el mecanismo de respuesta es ineficaz. La notificación de problemas se reduce a un formato en el que se ofrece al usuario seleccionar entre una lista de motivos de insatisfacción con la extensión, como "no cumple con las expectativas" o "contenido poco amigable". Sin embargo, los comentarios detallados sobre las extensiones potencialmente maliciosas suelen quedar sin respuesta. En respuesta a esto, los usuarios se quejan de la necesidad de denuncias masivas para llamar la atención sobre el peligro.