Antecedentes

Em 3 de junho de 2024, o usuário do Twitter @CryptoNakamaoCompartilharam sua experiência de perder $1 milhão devido ao download da extensão maliciosa do Chrome, Aggr, despertando preocupações entre a comunidade cripto sobre riscos de extensões e segurança dos ativos. Em 31 de maio, a equipe de segurança SlowMist lançou uma análise intitulada "Lobo em pele de cordeiro | Análise das falsas extensões do Chrome roubando", detalhando as ações maliciosas da extensão Aggr. Dado a falta de conhecimento prévio entre os usuários sobre extensões de navegador, o Oficial de Segurança da Informação da SlowMist, 23pds, usou um formato de Q&A no artigo para explicar o básico e os potenciais riscos das extensões. Eles também forneceram recomendações para mitigar riscos de extensões, visando ajudar usuários individuais e plataformas de negociação a aprimorar a segurança de suas contas e ativos.

(https://x.com/im23pds/status/1797528115897626708)

Perguntas e respostas

1. O que são extensões do Chrome?

Uma extensão do Chrome é um plugin projetado para o Google Chrome para estender a funcionalidade e comportamento do navegador. Essas extensões podem personalizar a experiência de navegação do usuário, adicionar novos recursos ou conteúdo e interagir com sites. As extensões do Chrome geralmente são construídas usando HTML, CSS, JavaScript e outras tecnologias web. A estrutura de uma extensão do Chrome geralmente inclui os seguintes componentes:

1. manifest.json: O ficheiro de configuração da extensão, que define informações básicas como nome, versão, permissões, etc.
2. Scripts de Fundo: Scripts que são executados em segundo plano no navegador, lidando com eventos e tarefas de longo prazo.
3. Scripts de conteúdo: Scripts que são executados no contexto de páginas da web, permitindo interação direta com páginas da web.
4. Interface do utilizador (UI): Inclui elementos como botões da barra de ferramentas do navegador, janelas pop-up, páginas de opções, etc.

2. O que fazem as extensões do Chrome?

1. Bloqueadores de anúncios: Extensões que podem interceptar e bloquear anúncios em páginas da web, melhorando assim a velocidade de carregamento da página e a experiência do usuário. Exemplos incluem AdBlock e uBlock Origin.
2. Privacidade e Segurança: Algumas extensões melhoram a privacidade e segurança do usuário, prevenindo rastreamento, criptografando comunicações, gerenciando senhas, etc. Exemplos incluem Privacy Badger e LastPass.
3. Ferramentas de produtividade: Extensões que ajudam os utilizadores a aumentar a produtividade, como gestão de tarefas, anotações, controlo de tempo, etc. Exemplos incluem o Todoist e o Evernote Web Clipper.
4. Ferramentas de Desenvolvimento: Ferramentas para desenvolvedores web que oferecem recursos de depuração e desenvolvimento, como inspecionar a estrutura de páginas web, depurar código, analisar solicitações de rede, etc. Exemplos incluem React Developer Tools e Postman.
5. Redes Sociais e Comunicação: Extensões que integram ferramentas de redes sociais e comunicação, permitindo aos usuários lidar com notificações de redes sociais, mensagens, etc. enquanto navegam. Exemplos incluem o Grammarly e o Facebook Messenger.
6. Personalização da Web: Os usuários podem personalizar a aparência e o comportamento das páginas da web usando extensões, como alterar temas, reorganizar elementos da página, adicionar funcionalidades extras, etc. Exemplos incluem Stylish e Tampermonkey.
7. Tarefas de Automatização: Extensões que ajudam a automatizar tarefas repetitivas como preencher formulários, baixar arquivos em lote, etc. Exemplos incluem iMacros e DownThemAll.
8. Tradução de idiomas: Algumas extensões podem traduzir o conteúdo da página da web em tempo real, ajudando os usuários a entender páginas da web em diferentes idiomas, como o Google Tradutor.
9. Assistência em Criptomoedas: Extensões que facilitam experiências de negociação de criptomoedas mais fáceis para os usuários, como o MetaMask, etc.

A flexibilidade e diversidade das extensões do Chrome permite que sejam aplicadas a quase qualquer cenário de navegação, ajudando os utilizadores a realizar tarefas de forma mais eficiente.

3. Que permissões tem a extensão Chrome depois de instalada?

Após a instalação, as extensões do Chrome podem solicitar uma série de permissões para executar funções específicas. Essas permissões são declaradas no arquivo manifest.json da extensão e solicitam a confirmação dos usuários durante a instalação. As permissões comuns incluem:

1. <all_urls>: Permite que a extensão aceda a conteúdo de todos os websites. Esta permissão ampla permite que a extensão leia e modifique dados em todos os websites.
2. tabs: Permite à extensão aceder a informações sobre as abas do navegador, incluindo o acesso às abas atualmente abertas, criar e fechar abas, etc.
3. activeTab: Permite que a extensão aceda temporariamente ao separador ativo atualmente, normalmente utilizado para realizar ações específicas quando o utilizador clica no botão da extensão.
4. armazenamento: Permite que a extensão use a API de armazenamento do Chrome para armazenar e recuperar dados. Isso pode ser usado para salvar configurações de extensão, dados do usuário, etc.
5. cookies: Permite que a extensão aceda e modifique os cookies no navegador.
6. webRequest e webRequestBlocking: Permite que a extensão intercepte e modifique solicitações de rede. Essas permissões são frequentemente usadas em extensões de bloqueio de anúncios e proteção de privacidade.
7. marcadores: Permite que a extensão acesse e modifique os marcadores do navegador.
8. histórico: Permite que a extensão acesse e modifique o histórico do navegador.
9. notificações: Permite que a extensão exiba notificações de área de trabalho.
10. contextMenus: Permite que a extensão adicione itens de menu personalizados ao menu de contexto do navegador (menu de clique com o botão direito).
11. geolocalização: Permite a extensão aceder à informação de localização geográfica do utilizador.
12. clipboardRead e clipboardWrite: Permite que a extensão leia e escreva na área de transferência.
13. downloads: Permite à extensão gerir transferências, incluindo iniciar, pausar e cancelar transferências.
14. gestão: Permite que a extensão gerencie outras extensões e aplicativos no navegador.
15. background: Permite que a extensão execute tarefas de longa duração em segundo plano.
16. notificações: Permite que a extensão exiba notificações do sistema.
17. webNavigation: Permite à extensão monitorar e modificar o comportamento de navegação do navegador.

Essas permissões permitem que as extensões do Chrome executem muitas funções poderosas e diversas, mas também significam que as extensões podem acessar dados sensíveis do usuário, como cookies, informações de autenticação e muito mais.

4. Por que as extensões maliciosas do Chrome podem roubar as permissões do usuário?

As extensões maliciosas do Chrome podem explorar as permissões solicitadas para roubar as credenciais dos utilizadores e informações de autenticação, uma vez que estas extensões têm acesso direto e podem manipular o ambiente e os dados do navegador do utilizador.

1. Acesso abrangente: As extensões maliciosas frequentemente solicitam permissões extensas, como acessar todos os sites (<all_urls>), ler e modificar as guias do navegador (tabs) e acessar o armazenamento do navegador (storage). Essas permissões permitem que as extensões maliciosas acessem extensivamente as atividades de navegação e os dados dos usuários.
2. Manipulação de pedidos de rede: Extensões maliciosas podem usar permissões de webRequest e webRequestBlocking para interceptar e modificar pedidos de rede, roubando assim as informações de autenticação e dados sensíveis dos utilizadores. Por exemplo, podem interceptar dados de formulário quando os utilizadores fazem login em sites para obter nomes de utilizador e palavras-passe.
3. Leitura e gravação de conteúdo da página: Através de scripts de conteúdo, extensões maliciosas podem incorporar código em páginas da web para ler e modificar o conteúdo da página. Isso significa que eles podem roubar qualquer dado inserido pelos usuários em páginas da web, como informações de formulário e consultas de pesquisa.
4. Acesso ao armazenamento do navegador: extensões maliciosas podem usar permissões de armazenamento para acessar e armazenar dados locais dos usuários, incluindo o armazenamento do navegador que pode conter informações confidenciais (como LocalStorage e IndexedDB).
5. Manipulação da área de transferência: Com as permissões clipboardRead e clipboardWrite, extensões maliciosas podem ler e escrever o conteúdo da área de transferência dos utilizadores, roubando ou adulterando informações copiadas e coladas pelos utilizadores.
6. Disfarçando-se como sites legítimos: Extensões maliciosas podem se disfarçar como sites legítimos, modificando o conteúdo do navegador ou redirecionando os usuários para páginas falsificadas, enganando os usuários a inserirem informações sensíveis.
7. Em execução em segundo plano por longos períodos: Extensões maliciosas com permissões de segundo plano podem ser executadas continuamente em segundo plano, mesmo quando os usuários não estão usando ativamente. Isso permite que elas monitorem as atividades do usuário por longos períodos e coletem grandes quantidades de dados.
8. Manipulação de downloads: Usando permissões de download, extensões maliciosas podem baixar e executar arquivos maliciosos, colocando em risco ainda mais a segurança do sistema do usuário.

5. Por que as vítimas desta extensão maliciosa tiveram suas permissões roubadas e seus fundos comprometidos?

Porque esta extensão maliciosa Aggr conseguiu obter as informações de fundo que acabámos de discutir, aqui está um excerto da secção de permissões do seu ficheiro manifest.json:

1. bolachas
2. abas
3. <all_urls>
4. armazenamento

6. O que pode fazer uma extensão maliciosa do Chrome depois de roubar os cookies dos utilizadores?

1. Acesso a contas: Extensões maliciosas podem usar cookies roubados para simular o login do usuário em plataformas de negociação de criptomoedas, permitindo o acesso a informações da conta dos usuários, incluindo saldos e histórico de transações.
2. Conduzir transações: Cookies roubados podem permitir que extensões maliciosas conduzam transações sem o consentimento do utilizador, comprando ou vendendo criptomoedas, ou transferindo ativos para outras contas.
3. Levantamento de fundos: Se os cookies contiverem informações de sessão e tokens de autenticação, extensões maliciosas podem contornar a autenticação de dois fatores (2FA) e iniciar levantamentos de fundos, transferindo criptomoedas dos usuários para carteiras controladas pelos atacantes.
4. Acesso a informações sensíveis: Extensões maliciosas podem aceder e recolher informações sensíveis nas contas das plataformas de negociação dos utilizadores, tais como documentos de autenticação e endereços, potencialmente utilizados para atividades adicionais de roubo de identidade ou fraude.
5. Modificando as configurações da conta: Extensões maliciosas podem alterar as configurações da conta dos usuários, como endereços de e-mail e números de telefone associados, controlando ainda mais as contas e roubando mais informações.
6. Personificar usuários para ataques de engenharia social: Usar contas de usuário para ataques de engenharia social, como enviar mensagens fraudulentas para os contatos dos usuários, fazê-los realizar operações inseguras ou fornecer informações mais sensíveis.

Respostas

Ao ver isso, muitos usuários podem se perguntar: 'O que devo fazer? Devo simplesmente desconectar da internet e parar de usá-la completamente? Devo usar um computador separado para operações? Devo evitar fazer login em plataformas por meio de páginas da web?' Existem muitas sugestões extremas online, mas na realidade, podemos aprender como prevenir razoavelmente tais riscos:

Medidas de mitigação do utilizador pessoal:

1. Melhore a consciência de segurança pessoal: A primeira sugestão preventiva é melhorar a consciência de segurança pessoal e manter uma atitude cética o tempo todo.
2. Instale extensões apenas de fontes confiáveis: instale extensões da Chrome Web Store ou de outras fontes confiáveis, leia as avaliações dos utilizadores e os pedidos de permissão, e evite conceder permissões de acesso desnecessárias às extensões.
3. Utilize um ambiente de navegação seguro: evite instalar extensões de fontes desconhecidas, revise regularmente e remova extensões desnecessárias, considere usar diferentes navegadores para isolar a navegação de plugins e a navegação de transações de fundos.
4. Monitorizar regularmente a atividade da conta: Verifique regularmente as atividades de login da conta e os registos de transações e tome medidas imediatas ao detetar comportamentos suspeitos.
5. Lembre-se de sair: Lembre-se de sair depois de usar plataformas web. Muitas pessoas tendem a ignorar o clique em "sair" após concluir operações em uma plataforma por conveniência, o que representa riscos de segurança.
6. Utilize carteiras de hardware: Para ativos grandes, utilize carteiras de hardware para armazenamento a fim de aumentar a segurança.
7. Configurações do navegador e ferramentas de segurança: Use configurações seguras do navegador e extensões (como bloqueadores de anúncios e ferramentas de proteção de privacidade) para reduzir o risco de extensões maliciosas.
8. Usar software de segurança: Instalar e utilizar software de segurança para detetar e prevenir extensões maliciosas e outros malware.

Recomendações finais de controlo de risco para plataformas: Ao implementar estas medidas, as plataformas de negociação podem reduzir os riscos de segurança apresentados por extensões maliciosas do Chrome para os utilizadores:

Obrigar o uso da Autenticação de Dois Fatores (2FA):

• Ativar a autenticação de dois fatores globalmente: Exigir que todos os utilizadores ativem a Autenticação de Dois Fatores (2FA) para login e operações importantes (como negociação, realização de ordens e levantamento de fundos), garantindo que, mesmo que os cookies de um utilizador sejam roubados, os atacantes não consigam aceder facilmente à conta.

• Múltiplos métodos de autenticação: Suporte a vários métodos de 2FA, como SMS, e-mail, Google Authenticator e tokens de hardware.

Gestão de sessões e segurança:

• Gestão de dispositivos: Fornecer aos usuários a capacidade de visualizar e gerir os dispositivos conectados, permitindo-lhes encerrar sessões de dispositivos não reconhecidos a qualquer momento.

• Tempo limite da sessão: Implementar políticas de tempo limite da sessão para fazer logout automaticamente de sessões inativas, reduzindo o risco de sequestro de sessão.

• Monitorização de endereço IP e geolocalização: Detetar e alertar os utilizadores sobre tentativas de login a partir de endereços IP ou geolocalizações invulgares e bloquear esses logins, se necessário.

Melhorar configurações de segurança da conta:

• Notificações de segurança: Notifique prontamente os utilizadores de ações importantes, como login na conta, alterações de senha e levantamentos de fundos, via email ou SMS, para alertar os utilizadores de atividades suspeitas.

• Recurso de congelamento de conta: Fornecer uma opção para os utilizadores congelarem rapidamente as suas contas em situações de emergência para controlar os danos.

Fortalecer sistemas de monitorização e controlo de riscos:

• Detecção de comportamento anormal: Utilize aprendizado de máquina e análise de big data para monitorar o comportamento do usuário, identificar padrões de negociação anormais e atividades de conta, e intervir prontamente no controle de risco.

• Avisos de risco: Alertar e restringir atividades suspeitas, como mudanças frequentes nas informações da conta ou tentativas frequentes de login malsucedidas.

Fornecer educação e ferramentas de segurança para os usuários:

• Educação em segurança: Disseminar o conhecimento em segurança aos usuários por meio de contas oficiais nas redes sociais, e-mail, notificações da plataforma, etc., aumentando a conscientização sobre os riscos das extensões do navegador e como proteger suas contas.

• Ferramentas de segurança: Fornecer plugins ou extensões de navegador oficiais para ajudar os usuários a aprimorar a segurança da conta e detectar e alertar os usuários sobre possíveis ameaças à segurança.

Conclusão

Para ser sincero, do ponto de vista técnico, implementar as medidas de controle de risco mencionadas anteriormente nem sempre é a melhor abordagem. Equilibrar segurança e necessidades comerciais é crucial; dar muita ênfase à segurança pode degradar a experiência do usuário. Por exemplo, exigir autenticação de segundo fator durante a colocação de pedidos pode levar muitos usuários a desabilitá-la para transações mais rápidas. Essa conveniência para os usuários também beneficia os hackers, pois cookies roubados podem permitir que eles manipulem negociações e comprometam os ativos do usuário. Portanto, diferentes plataformas e usuários podem exigir abordagens variadas para a gestão de riscos. Encontrar o equilíbrio entre segurança e objetivos comerciais varia de plataforma para plataforma, e é crucial que as plataformas priorizem tanto a experiência do usuário quanto a proteção de contas e ativos dos usuários.

Aviso Legal:

1. Este artigo é reproduzido de [PANews]. Todos os direitos autorais pertencem ao autor original [Tecnologia Slow Mist]. Se houver objeções a esta reimpressão, por favor entre em contato com o Gate Learnequipa e eles vão tratar disso prontamente.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo indicação em contrário, copiar, distribuir ou plagiar os artigos traduzidos é proibido.