Dezenas de milhares de extensões do Google Chrome disponíveis na Chrome Online Store manipulam cabeçalhos de segurança em sites importantes, o que representa um grande risco de ataques pela web aos visitantes. Segundo pesquisadores do CISPA Helmholtz Center, mais de 2 mil cabeçalhos de segurança estão desativados para extensões do Chrome.
Embora os cabeçalhos de segurança sejam pouco conhecidos, eles são um componente-chave da segurança do site. Um exemplo é o cabeçalho de segurança HTTP. Quando implementado, ele protege os usuários contra os tipos de ataques que provavelmente acontecem no site. Esses cabeçalhos protegem contra cross site scripting (XSS), código de injeção, clickjacking, etc.
Os pesquisadores do CISPA examinaram o CSP e outros cabeçalhos de segurança e disseram que as extensões do Chrome foram desativadas “para introduzir funcionalidades adicionais aparentemente benignas na página da web visitada” e nem mesmo pareciam ter um propósito nefasto. Segundo eles, isso ocorre porque a estrutura do Chrome força extensões em nome da segurança para fazer isso, paradoxalmente. O código de extensão padrão pode acessar a página DOM (document object model, ou modelo de documento por objetos), mas nenhum script na página pode interagir.
Qando o usuário acessa o site, o navegador solicita a página da web de um servidor. Embora os sites sejam apresentados por meio de código HTML, JavaScript e CSS, os proprietários de sites podem direcionar o navegador para lidar com o material fornecido de várias maneiras, adicionando parâmetros adicionais no cabeçalho de conexão HTTP.
Embora nem todos os sites tenham cabeçalhos de segurança, muitos dos principais serviços da web atuais geralmente os incorporam para proteger seus clientes contra ataques, visto que frequentemente enfrentam mais ataques baseados na web do que os sites convencionais, devido ao seu tamanho maior.
Embora os gerentes de sites estejam configurando seus cabeçalhos de segurança, isso não significa que ainda existam cabeçalhos de segurança no tocante ao cliente, justamente a “ponta” que pode ser detectada e evitada por invasores com um esquema de ataque de médio alcance, malware em execução em um sistema operacional ou extensões do navegador.
Veja isso
Extensões maliciosas do Chrome e do Edge afetam milhões de usuários
Espionagem com Chrome pode ter afetado mais de 33 milhões de usuários
Os pesquisadores do CISPA declararam que estavam tentando avaliar o número de extensões do Chrome que foram danificadas pelos cabeçalhos de segurança pela primeira vez. A equipe estudou 186.434 extensões do Chrome que estavam acessíveis no ano passado na Chrome Web Store usando uma infraestrutura personalizada que desenvolveram especialmente para a pesquisa.
A análise descobriu que 2.485 extensões interceptaram e alteraram pelo menos um cabeçalho de segurança usado pelos 100 sites mais famosos da atualidade. O estudo se concentrou nos quatro cabeçalhos de segurança mais predominantes: política de segurança de conteúdo (CSP), segurança de transporte estrito HTTP (HSTS), opções de x-frame e opções de x-content-type. Embora 2.485 extensões tenham desativado pelo menos um, os pesquisadores descobriram que 553 foram desativados por todos os quatro cabeçalhos de segurança investigados.
O CSP, um cabeçalho de segurança criado para permitir que os proprietários de sites regulem quais recursos da internet uma página pode buscar dentro de um navegador, bem como uma defesa padrão para prevenir sites e navegadores de XSS e injeções de conjunto de dados, foi o cabeçalho mais amplamente bloqueado por questões de segurança. Com agências de notícias internacionais.