Os navegadores de quase 1 milhão de usuários se transformaram em robôs de scraping ocultos

Extensões de navegador, aparentemente úteis e inofensivas, foram envolvidas em um projeto gigantesco para transformar os dispositivos dos usuários em bots. 909.000 navegadores em todo o mundo se tornaram participantes involuntários de uma rede ilegal de coleta de dados. O pesquisador John Tuckner, da SecurityAnnex, descobriu que 245 extensões populares para Chrome, Firefox e Edge estavam desativando a proteção para coletar secretamente sites para o serviço Olostep.

Fonte da imagem: Philipp Katzenberger/Unsplash

Essas extensões desempenhavam a função de gerenciar favoritos, aumentar o volume, gerar números aleatórios e outras tarefas úteis, mas, ao mesmo tempo, utilizavam o script MellowTel-js, uma biblioteca JavaScript de código aberto que permite aos desenvolvedores monetizar secretamente suas extensões. De acordo com a Ars Technica, os ganhos eram possíveis graças à raspagem — coleta automática de informações de páginas da web (a pedido dos clientes da Olostep).

Segundo Tuckner, o MellowTel está intimamente ligado ao Olostep, o que lhe permite contornar sistemas de detecção de bots e processar até 100.000 solicitações em paralelo em questão de minutos. Os clientes especificam quais páginas abrir, e o sistema então usa os dispositivos dos usuários que instalaram as extensões apropriadas para executar a tarefa.

O fundador da MellowTel explicou que a biblioteca foi projetada para distribuir a largura de banda da internet dos usuários sem coletar seus dados pessoais. Segundo ele, as empresas pagam pelo acesso a informações públicas em sites, e os desenvolvedores de extensões recebem 55% da receita. No entanto, Tuckner acredita que a MellowTel cria riscos para os usuários, pois a biblioteca ativa uma conexão oculta com um servidor da Amazon Web Services, transmitindo dados sobre a localização, a velocidade da internet e a atividade do usuário. Além disso, ela injeta um iframe invisível que carrega sites de terceiros sem o conhecimento dos proprietários dos dispositivos.

Os navegadores normalmente bloqueiam essas ações usando mecanismos de segurança integrados, como Content-Security-Policy e X-Frame-Options. Mas o MellowTel usa uma permissão chamada declarativeNetRequest para desabilitar temporariamente essas restrições, ao mesmo tempo em que torna os dispositivos vulneráveis ​​a ataques entre sites. O problema é ainda mais agravado pelo fato de os usuários não saberem quais sites estão sendo abertos em segundo plano e serem forçados a confiar na boa-fé do MellowTel. A situação é considerada especialmente perigosa para redes corporativas com políticas de segurança rígidas.

Conforme relatado pela Ars Technica, citando Takner, algumas das extensões perigosas já foram removidas. Das 45 extensões identificadas para o Chrome, 12 já pararam de funcionar. Das 129 extensões para o Edge, oito estão inativas, e no Firefox, duas das 71 estão inativas. Ao mesmo tempo, alguns desenvolvedores removeram voluntariamente a biblioteca MellowTel das versões atualizadas de suas extensões. A lista completa de extensões está publicada no relatório do pesquisador no Google Docs.