A extension «The Great Suspender» chegou a ter mais de dois milhões de utilizadores. Adormecia os separadores que não estavas a usar e libertava RAM. A certa altura, o programador original acabou por vender o projeto a um comprador anónimo. Algumas semanas depois, esse comprador publicou na Chrome Web Store uma atualização que introduzia código de tracking, mostrava anúncios e enviava o comportamento dos utilizadores para servidores lá fora. Quando a Google interveio, já havia milhões de pessoas com o update instalado.
O inquietante não é uma extension em concreto ter ficado maliciosa. É que o sistema está montado de forma a que isto vá acontecer outra vez. Cada extension instalada é um pedaço de código com permissões enormes, que se atualiza sozinho a partir de um programador cuja conta, intenções ou proprietário podem mudar de um dia para o outro.
O que uma extension realmente vê
A maior parte das extensions do browser pede acesso a todas as páginas que visitas. No Chrome, a permissão chama-se «Ler e alterar todos os teus dados nos sites que visitas». Parece linguagem técnica, mas na prática quer dizer que a extension consegue ler qualquer campo de qualquer página: campos de password, session tokens metidos dentro do DOM, mensagens privadas, dados bancários, tudo.
Ao mesmo tempo, pode intercetar requests, ler cookies, abrir separadores, capturar o que tu carregas no teclado e injetar conteúdo que à vista não distingues dos elementos verdadeiros da página. Uma extension, na prática, é um man in the browser. Não é um bug: é exatamente a opção de design sem a qual gestores de passwords, ad blockers e tradutores nem sequer funcionariam.
O browser só te mostra essas permissões uma única vez, no momento da instalação, e depois nunca mais. Em muitas stores, os updates podem alargar permissões já concedidas sem te pedir nada de novo, desde que não juntem uma categoria totalmente nova.
Como as extensions se tornam superfície de ataque
As extensions acabam comprometidas de três formas, e as três tornaram-se bem mais comuns nos últimos anos.
Venda a novos donos. Um programador amador vai mantendo uma ferramenta pequena durante anos e, a dada altura, recebe uma proposta de compra. Por trás dos compradores estão quase sempre empresas de marketing, e às vezes operadores camuflados, que querem essencialmente uma base de utilizadores já feita para injetar publicidade, redirecionar links de afiliados ou montar campanhas de infostealer sem rodeios.
Phishing contra programadores. Em 2023, mais de vinte extensions do Chrome mudaram de mãos num único fim de semana porque os respetivos programadores caíram num prompt OAuth disfarçado de aviso da Google Mail. O atacante teve tempo para publicar updates maliciosos antes de alguém dar pelo acesso.
Dependências. As extensions arrastam libraries atrás de si. Essas libraries têm os seus próprios maintainers e a sua própria supply chain. Um package npm desviado pode muito bem ir parar ao browser do utilizador final passando por várias extensions, sem que os autores dessas extensions tenham feito nada de propósito.
Casos de que provavelmente nunca ouviste falar
A lista é longa e não para de crescer. O The Great Suspender foi só o caso mais mediático. O Nano Adblocker e o Nano Defender tornaram-se maliciosos em 2020, depois de uma mudança de proprietário, e começaram a registar as requests dos utilizadores. O Stylish, uma extension para personalizar o aspeto dos sites com dois milhões de utilizadores, foi comprado e pouco depois estava a enviar cada URL visitado para servidores externos.
Em 2024, a Secure Annex documentou várias dezenas de extensions do Chrome em categorias muito diferentes (notas, PDF, meteorologia, screenshots) que tinham sido alteradas depois com código para roubar credenciais. No total, somavam mais de sessenta milhões de instalações.
extensions maliciosas documentadas só em 2024
utilizadores cumulativos das extensions afetadas
dos utilizadores tem 3 ou mais extensions instaladas
Fazer a auditoria das tuas extensions
Este passeio leva-te dez minutos e ajuda-te a decidir, de uma vez por todas, que extensions é que vale a pena manter.
- 1
Abre a página de extensions do teu browser
chrome://extensions no Chrome, about:addons no Firefox, edge://extensions no Edge. Aí está tudo o que foste juntando ao longo do tempo. - 2
Deita fora tudo o que não usaste nas últimas duas semanas
Qualquer extension que não estás mesmo a usar é só mais superfície de ataque. Uma ferramenta de screenshots que abres uma vez por mês não justifica uma permissão permanente para ler em qualquer lado. - 3
Nas que ficam, vê o programador e a data do último update
Programador desconhecido, venda recente ou sem atualizações há mais de um ano são todos sinais de alerta. Um longo silêncio do lado dos updates quer dizer patches de segurança em falta; mudanças frequentes de proprietário são o padrão típico dos takeovers. - 4
Restringe o acesso por site sempre que puderes
No Chrome podes limitar uma extension a sites específicos ou pô-la em modo «ao clicar». Uma ferramenta de notas não tem nada que estar a correr em cima do teu online banking.
Uma configuração por omissão mais segura
A resposta certa quase nunca é «deitar fora todas as extensions». Um gestor de passwords e um ad blocker merecem claramente o lugar que ocupam. A resposta é passar a navegação sensível para um ambiente que não sabe sequer o que é uma extension. Um browser novo, isolado e sem qualquer add-on é a superfície de ataque mais limpa que consegues ter.
Na prática, isto quer dizer o seguinte: o teu browser do dia a dia fica com as extensions de que gostas, tu percebes o risco e fazes limpeza com regularidade. O banking, os logins de admin, as wallets de cripto e as pesquisas em sites em que não confias correm todos numa sessão isolada. Aí não há extension nenhuma a ler por cima do teu ombro, simplesmente porque não há extension nenhuma.
Pronto para teres um desktop completo em qualquer dispositivo?
Experimenta o Browser.lol grátis e sente a produtividade de um PC a partir do telemóvel.
Abrir o meu navegador desktopSem instalações • Funciona em qualquer dispositivo
