Le tue extension del browser ti stanno guardando
Security & Privacy

Le tue extension del browser ti stanno guardando

Una extension vede ogni pagina che apri. Basta che uno sviluppatore la venda o caschi in un phishing, e un solo update di colpo trasforma milioni di utenti in bersagli del tracking o del furto di credenziali.

BROWSER.LOL
22.01.2026
20 min di lettura
Condividi

L'extension «The Great Suspender» aveva oltre due milioni di utenti. Sospendeva le schede inattive e liberava RAM. A un certo punto lo sviluppatore originale ha ceduto il progetto a un acquirente anonimo. Qualche settimana dopo, quell'acquirente ha caricato sul Chrome Web Store un update che ci infilava codice di tracking, mostrava pubblicità e mandava il comportamento degli utenti verso server all'estero. Prima che Google riuscisse a intervenire, milioni di persone avevano già aggiornato.

La cosa inquietante non è che una singola extension sia finita male. È che il sistema è fatto in modo tale che prima o poi succederà di nuovo. Ogni extension installata è un pezzo di codice con permessi enormi che si aggiorna da solo, partendo da uno sviluppatore il cui account, interesse o proprietario può cambiare nel giro di una notte.

Cosa vede davvero una extension

La maggior parte delle extension del browser chiede accesso a tutte le pagine che apri. In Chrome il permesso si chiama «Leggere e modificare tutti i tuoi dati sui siti web che visiti». Sembra un tecnicismo, ma in pratica vuol dire che l'extension può leggere qualsiasi campo di qualsiasi pagina: campi password, session token piazzati nel DOM, messaggi privati, dati bancari, tutto.

Nel frattempo può anche intercettare le request, leggere i cookie, aprire schede, intercettare quello che digiti e iniettare contenuti che a occhio non distingui dagli elementi veri della pagina. Una extension, di fatto, è un man in the browser. Non è un bug: è esattamente la scelta di design grazie alla quale gestori di password, ad blocker e traduttori riescono a fare il loro lavoro.

Il browser ti mostra quei permessi una volta sola, al momento dell'installazione, e poi non te li ripropone più. In molti store, gli update possono allargare i permessi già concessi senza chiederti di nuovo il consenso, a patto che non si aggiunga una categoria del tutto nuova.

Come le extension diventano superficie d'attacco

L'icona di uno sviluppatore con una freccia verso una tessera di puzzle, poi una freccia verso un browser, una delle tessere con un colore leggermente diverso

Le extension finiscono compromesse in tre modi, e tutti e tre sono diventati molto più frequenti negli ultimi anni.

Vendita a nuovi proprietari. Uno sviluppatore amatoriale mantiene un piccolo tool per anni, finché a un certo punto arriva un'offerta di acquisto. Dietro agli acquirenti ci sono quasi sempre aziende di marketing, a volte operatori che si nascondono dietro a una facciata, interessati a una base utenti già pronta da sfruttare per iniettare pubblicità, dirottare link di affiliazione o, direttamente, campagne di infostealer.

Phishing contro gli sviluppatori.Nel 2023, oltre venti extension di Chrome sono passate in mano agli attaccanti in un solo weekend, perché i rispettivi sviluppatori sono cascati in un prompt OAuth camuffato da notifica di Google Mail. L'attaccante ha fatto in tempo a pubblicare update malevoli prima che qualcuno si accorgesse dell'accesso.

Dipendenze. Le extension si tirano dietro una marea di librerie. Quelle librerie hanno a loro volta i propri maintainer e la propria supply chain. Un pacchetto npm compromesso può tranquillamente finire nei browser degli utenti finali passando per più extension, senza che gli autori di quelle extension stiano facendo nulla di sbagliato.

Casi di cui probabilmente non hai mai sentito parlare

La lista è lunga e continua ad allungarsi. The Great Suspender è stato solo l'esempio più famoso. Nano Adblocker e Nano Defender sono passati al lato oscuro nel 2020 dopo un cambio di proprietà e hanno iniziato a loggare le request degli utenti. Stylish, una extension per personalizzare lo stile dei siti con due milioni di utenti, è stata acquistata e ha cominciato a spedire ogni URL visitato verso server esterni.

Nel 2024, Secure Annex ha documentato diverse decine di extension per Chrome in categorie molto diverse (note, PDF, meteo, screenshot), a cui era stato aggiunto in un secondo momento del codice per rubare credenziali. Messe insieme, superavano i sessanta milioni di installazioni.

280+

extension malevole documentate solo nel 2024

60 mln

utenti cumulativi delle extension coinvolte

50 %

degli utenti ha 3 o più extension installate

Fare l'audit delle tue extension

Questo giro ti porta via dieci minuti e ti permette di decidere una volta per tutte quali extension meritano davvero di restare.

  1. 1

    Apri la pagina extension del tuo browser

    chrome://extensions su Chrome, about:addons su Firefox, edge://extensions su Edge. Lì trovi tutto quello che si è accumulato nel tempo.
  2. 2

    Butta via tutto quello che non hai usato nelle ultime due settimane

    Ogni extension che non usi davvero è solo superficie d'attacco in più. Un tool di screenshot che apri una volta al mese non vale un permesso permanente per leggere ovunque.
  3. 3

    Sulle altre, guarda lo sviluppatore e la data dell'ultimo update

    Sviluppatore sconosciuto, vendita recente o nessun aggiornamento da più di un anno sono tutti campanelli d'allarme. Un lungo silenzio lato update vuol dire patch di sicurezza mancanti; cambi di proprietà a ripetizione sono il profilo classico dei takeover.
  4. 4

    Restringi l'accesso ai siti dove puoi

    Su Chrome puoi limitare una extension a singoli siti o impostarla su «al clic». Un tool per gli appunti non ha motivo di girare anche sul tuo online banking.

Una configurazione di default più sicura

Due finestre di browser affiancate, una con tre icone a forma di tessere di puzzle, l'altra vuota, un divisore tratteggiato in mezzo

La risposta giusta non è quasi mai «butta via tutte le extension». Un gestore di password e un ad blocker si guadagnano largamente il loro posto. La risposta è spostare la navigazione sensibile in un ambiente che non sa nemmeno cosa siano le extension. Un browser nuovo, isolato e senza add-on è la superficie d'attacco più pulita che ti puoi costruire.

In pratica vuol dire questo: il tuo browser di tutti i giorni si tiene le extension a cui sei affezionato, tu sai a cosa vai incontro e fai pulizia con regolarità. Banking, login di admin, wallet crypto e ricerche su siti di cui non ti fidi vanno tutti in una sessione isolata. Lì nessuna extension ti può leggere alle spalle, semplicemente perché di extension non ce ne sono.

Vuoi un vero desktop su qualunque dispositivo?

Prova Browser.lol gratis: la potenza di un PC, anche dal telefono.

Avvia il tuo desktop nel browser

Niente download • Funziona ovunque

Già scelto da oltre 250.000 professionisti
Compatibilità desktop totale
Pronto in pochi secondi

Ultimi articoli

Tutti gli articoli
Canvas, WebGL e Audio: i tre fingerprint che sopravvivono a ogni riavvio del browser
Sicurezza e privacy

Canvas, WebGL e Audio: i tre fingerprint che sopravvivono a ogni riavvio del browser

Contro questi tre, cancellare i cookie non serve a niente. Come si formano gli hash del canvas, le stringhe del renderer WebGL e le firme AudioContext, e perché perfino Tor ne lascia trapelare uno.

17.05.2026Continua a leggere
Tabnabbing e clickjacking: gli attacchi all'interfaccia che non vedi mai
Sicurezza e privacy

Tabnabbing e clickjacking: gli attacchi all'interfaccia che non vedi mai

Alcuni attacchi nel browser non hanno bisogno di malware. Riscrivono le tue schede mentre non le guardi o nascondono un pulsante vero sotto uno finto, e sei tu a consegnare credenziali o autorizzazioni. Ecco come funzionano questi trucchi di UI.

19.03.2026Continua a leggere
Wallet drainer Web3: come una sola firma svuota la tua crypto
Sicurezza e privacy

Wallet drainer Web3: come una sola firma svuota la tua crypto

Ai wallet drainer non serve la tua seed phrase. Ti spingono a firmare una transazione che porta via tutto con un clic. Ecco come funziona la truffa e come firmare senza farti ripulire.

05.03.2026Continua a leggere