Are they able to modify my page results and maliciously implement
Cross-Site Scripting stealing for example credit card or social
security numbers?
Sì. Tali estensioni dannose sono sempre state sviluppate. Penso che uno dei migliori esempi che possiamo citare sia il famigerato ZombieBrowserPack che è un progetto opensource che si sviluppa per primo come un POC di Zoltan Balazs e che si rivolge a vari browser più utilizzati (Chrome, Firefox e IE). Questo plug-in può essere manipolato in remoto per sottrarre credenziali di autenticazione e persino ignorare l'autenticazione a due fattori meccanismi come quelli implementati da Yahoo e Google, o semplicemente dirottare il tuo account Facebook.
Are they able to access information beyond the browser (files, list
applications, network configuration information?
Sì . La stessa estensione che abbiamo appena menzionato è in grado di catturare schermate usando la webcam della tua macchina, e non solo può essere usata per il mainuplate dei file, ma anche per scaricare altri file dannosi per eseguirli sulla vittima della macchina.
Are they able to transmit information regarding my Internet surfing
behaviour back to their developers even when I don't interact with
them?
Sì . In realtà questo plug-in si comporta come un proxy HTTP che consente a un utente malintenzionato di comunicare con un server sulla rete interna della vittima senza che siano necessarie interazioni da parte della vittima.
All'inizio tali estensioni erano utilizzate dagli aggressori per frode sui clic, ad esempio, dirottando le query di ricerca; ma la breve e ricca storia del Web ci mostra una lunga lista di estensioni sviluppate per raggiungere obiettivi mirati. Solo per darti un esempio :
Through the analysis of more than 48,000 extensions from the Google
Chrome web store, the group of researchers was able to detect 130
malicious extensions, including one with 5.5 million affected users.
Al giorno d'oggi, non è necessario utilizzare solo un'estensione malevola per essere vittima di uno degli scenari che hai citato, ma una semplice visita a una determinata pagina web compromessa potrebbe portare a attacco di download drive-by sfruttando le vulnerabilità del browser che sono più frequentemente portate avanti dalle estensioni installate che portano a spyware e adware (nei casi meno drammatici) a infetta la tua macchina come è accaduto con i visitatori di homepage di Amnesty International nel 2011 di che molti utenti sono diventati vittime.
Quindi, prima di prendere la decisione di installare qualsiasi plugin sul tuo browser, devi stare attento controllando le autorizzazioni richieste dai suoi sviluppatori e quando visiti una pagina web che ti richiede un messaggio per installare un plugin per poterlo visualizzare il contenuto quindi non ha fretta di seguire le istruzioni (per esempio se hai già installato il plugin Flash e la pagina ti chiede di installarlo, è probabile che si tratti di un attacco di download drive-by che richiede l'interazione dell'utente). E come pratica di sicurezza generale, non installare mai un plug-in a meno che non sia utile e installarne il meno possibile e verificare se è possibile il comportamento e il codice sorgente delle tue estensioni di tanto in tanto come è stato fatto here .
