Encontradas 287 extensões do Chrome que coletam dados de navegação dos usuários

 (qcontinuum.substack.com)
4 pontos por GN⁺ 2026-02-12 | 1 comentários | Compartilhar no WhatsApp
  • Por meio de um pipeline automatizado de varredura baseado em MITM (man-in-the-middle), foram detectadas 287 extensões do Chrome enviando o histórico de navegação dos usuários para fora
  • Essas extensões somam cerca de 37,4 milhões de instalações, o que equivale a aproximadamente 1% dos usuários globais do Chrome
  • O vazamento de dados envolve grandes corretores de dados e várias empresas menores, incluindo Similarweb, Curly Doggo, Offidocs e Big Star Labs
  • A análise mostrou que algumas extensões usam técnicas de criptografia como ROT47, AES‑256 e LZ‑string para ocultar e transmitir dados de URL
  • Mais do que uma simples violação de privacidade, trata-se de uma ameaça grave que pode levar a riscos de segurança, como a exposição de URLs de redes internas corporativas e consoles administrativos

Construção de um pipeline de varredura automatizado

  • A equipe de pesquisa construiu um sistema automatizado envolvendo o navegador Chrome em ambiente Docker com um proxy MITM, medindo a correlação do tráfego de saída de acordo com o tamanho da URL
    • Se o volume transmitido aumentava proporcionalmente ao tamanho da URL, considerava-se que a extensão estava enviando a URL para fora
  • A varredura foi realizada em duas etapas e exigiu um total de 930 CPU-days
    • Primeiro, foram testados 4 comprimentos de URL e, quando uma taxa suspeita (0.1 ≤ R < 1.0) era detectada, a verificação era refeita com mais 6 comprimentos

Detecção e análise do vazamento de dados

  • Foi confirmado que 287 extensões estavam enviando o histórico de navegação para servidores externos
  • O total de instalações dessas extensões é de cerca de 37,4 milhões, equivalente a aproximadamente 1% dos usuários globais do Chrome
  • Os dados vazados são enviados para Similarweb, Curly Doggo, Offidocs e Big Star Labs, entre outros, e parte deles é recolhida novamente por meio do scraper Kontera
  • Ao operar um servidor honeypot para rastrear os IPs reais de coleta de dados, verificou-se acesso repetido de 5 faixas principais de IP, incluindo HashDit, Blocksi AI Web Filter e Kontera

Principais atores e relações

  • Por meio de análise OSINT, foram investigados e-mails dos desenvolvedores, políticas de privacidade e informações de certificados de cada extensão
  • Foi confirmado que a extensão “Similar Sites” da Similarweb está conectada ao scraper Kontera, além de Curly Doggo e Offidocs
  • A Big Star Labs compartilha o mesmo padrão de código da Similarweb, indicando alta probabilidade de pertencerem à mesma organização

Casos representativos de vazamento

  • Poper Blocker: ofusca a URL com ROT47 e a envia para api2.poperblocker.com
  • Stylish: criptografa a URL com AES‑256 e criptografia de chave pública RSA antes de enviá-la para userstylesapi.com
  • BlockSite e Video Ad Blocker Plus: enviam URLs usando compressão LZ‑string UTF16, com o mesmo esquema de dados
  • Similarweb: envia dados de navegação com múltipla codificação de URL para rank.similarweb.com
  • WOT (Web of Trust): criptografa URLs com uma codificação personalizada baseada em XOR, com estrutura idêntica à da Similarweb
  • Smarty, CrxMouse, ApkOnline, Knowee AI, Super PiP e outros também transmitem dados por meio de parâmetros de URL, headers e da API do Google Analytics

Escala e impacto da ameaça

  • Cerca de 37,4 milhões de usuários, ou seja, um volume equivalente à população da Polônia, foram impactados
  • Algumas extensões podem precisar de acesso ao histórico de navegação por causa de sua funcionalidade, mas muitas coletam dados sem consentimento explícito
  • Os dados vazados podem ser explorados para segmentação publicitária, espionagem corporativa e sequestro de sessão
    • Em especial, em ambientes corporativos, existe o risco de exposição de URLs internas de funcionários que usam extensões de “aumento de produtividade”

Conclusão e alerta

  • Muitas das extensões analisadas usam técnicas intencionais de criptografia e ocultação para evitar a detecção
  • Isso não parece ser um simples bug, mas sim um modelo de negócios baseado na coleta de dados
  • É preciso lembrar que, em softwares gratuitos, mas não open source, o usuário pode acabar sendo o “produto”
  • Ao instalar extensões do Chrome, é essencial revisar as permissões e verificar a procedência

Leituras relacionadas

1 comentários

 
GN⁺ 2026-02-12
Comentários do Hacker News

  • Há uns 15 anos, criei uma extensão do Chrome que fazia só uma função específica e ela ficou bem popular
    Vendi por alguns milhares de dólares e esqueci, mas agora está claro que pessoas mal-intencionadas compram essas extensões legítimas para lucrar com dados dos usuários
    Vi vários casos assim pessoalmente

    • Mantenho há mais de 10 anos uma extensão cross-browser bastante popular, e propostas de monetização não param de chegar
      A discussão relacionada está resumida em uma discussão no GitHub
    • Isso é um típico ataque à cadeia de suprimentos (supply-chain attack)
      É parecido com gamers vendendo personagens de alto nível, ou contas de redes sociais trocando de dono
      Agora a nova frente da segurança são extensões de navegador, integrações com a nuvem e permissões de acesso de apps
      Se você der a qualquer app acesso total ao Gmail ou ao Google Drive, pode ficar exposto a ransomware
      Não sobra nenhum vestígio no sistema operacional local, e antivírus também não detecta
      O processo de revisão de segurança é tão incômodo que revogar acessos um por um vira um sofrimento
      Precisamos de uma forma melhor
    • Há 15 anos esse tipo de negócio provavelmente estava só começando
      Talvez não dê para impedir a venda de extensões, mas é preciso reforçar o processo de verificação da Chrome Web Store
    • Mesmo que o vendedor não tenha má intenção, acho que deveria haver alguma responsabilidade legal pelos problemas surgidos após a venda
      Mas essa responsabilidade deveria ser administrada não pelo indivíduo, e sim pelo operador da loja

  • Organizei algumas formas de me proteger quando uma extensão em que eu confiava vira maliciosa

    • Com o Extensions Update Notifier, monitoro atualizações e verifico se houve mudança de proprietário
    • No navegador Brave, dá para definir manualmente regras de filtragem de tráfego com brave://flags/#brave-extension-network-blocking
    • Também dá para clonar o repositório do GitHub, fazer auditoria de segurança com Claude Code e compilar por conta própria para atualizar manualmente
      • Acho essa abordagem muito boa
        Queria saber se existe alguma ferramenta para auditar deterministicamente uma base de código de extensão

  • Eu uso apenas extensões open source
    Só confio em coisas como uBlock Origin e SponsorBlock, em que o código é público e o desenvolvedor não é anônimo
    A Chrome Web Store é, na prática, um mercado sem regulação, e o Google só fica com a receita
    Open source é a proteção mínima que permite inspecionar o código antes da instalação

    • Extensões open source de desenvolvedores confiáveis e não anônimos são um bom sinal, mas isso não garante que o pacote distribuído seja exatamente igual ao código público
      O mesmo vale para outros canais de distribuição open source, como pip, npm e rpm
    • Então fica a dúvida de como verificar se o código da extensão instalada corresponde exatamente ao código publicado
    • Por isso há quem ache uma pena que o Tampermonkey não seja open source
      A discussão relacionada está em uma discussão no GitHub
    • Como ninguém consegue auditar tudo sozinho, acho que precisamos de um sistema de verificação por instituições confiáveis
      “Não confie no Google” é menos realista do que “vamos melhorar o sistema”
    • Desativar atualizações automáticas e fixar a versão (version lock) também é mais seguro
      Firefox e Safari são melhores nisso do que o Chrome

  • O código da maioria das extensões é ofuscado, mas qualquer um pode ver o código-fonte
    O método está explicado neste link
    Eu também mantenho uma extensão pequena usada por cerca de 2 mil pessoas, e recebo com frequência ofertas de compra para transformá-la em código malicioso
    Um exemplo é One Click Image Saver

  • Minha filha, que está no ensino fundamental, usa Google Classroom em um Chromebook na escola, e quase não há restrições para extensões
    Sempre que ela faz login, o Chrome mostra um aviso dizendo que “uma extensão foi removida por atividade maliciosa”

    • Ela talvez nem perceba que uma extensão pode roubar a câmera ou o histórico de buscas
      Por isso acho melhor usar só extensões open source ou criar as suas próprias
      Se for uma função simples, dá para escrever você mesmo com Tampermonkey e revisar o código diretamente
      Hoje em dia eu mesmo crio a maioria das extensões que uso
      No Tampermonkey, editar e revisar o código é simples, e também é fácil fazer auditoria de segurança com ferramentas de IA

  • Eu desativo atualizações automáticas em todo software
    Essa ideia de que “se você não atualizar imediatamente, vai ser hackeado” é ilusória
    Na verdade, sinto que a chance de ser hackeado depois de atualizar é ainda maior

    • No fim das contas, é uma situação em que há risco tanto atualizando quanto não atualizando

  • Extensões não confiáveis têm grande chance de um dia serem vendidas e virarem malware
    Por isso eu só instalo uBlock Origin

    • Eu também mantenho uma extensão usada por mais de 100 mil pessoas, e já recebi centenas de e-mails com propostas de compra
      Todos chegaram pelo endereço de e-mail público exigido pelo Google
      Não veio um único e-mail realmente útil
      Por isso eu só confio no uBlock Origin, no Bitwarden e nas extensões que eu mesmo fiz
      Um exemplo é Old Reddit Redirect
    • Eu também só uso uBlock Origin
      Antes usava Tree Style Tab, mas o Firefox passou a oferecer abas verticais nativamente, então ela deixou de ser necessária
      Instalar extensões novas é arriscado demais
    • Só para constar, o projeto original uBlock chegou a passar para mãos pouco confiáveis em certo momento,
      e então o desenvolvedor Raymond Hill fez um fork e criou a versão atual

  • Muitas extensões coletam parâmetros de URL de consultas de busca, como "u": "https://www.google.com/search?q=target";
    Isso significa que elas podem ir além do simples histórico de navegação e até roubar tokens de autenticação

    • Se algum serviço envia token de autenticação por parâmetro de URL, então esse serviço não deveria ser usado
      Um token assim está sempre exposto

  • Fico me perguntando por que o Google, uma das empresas mais ricas do mundo, não resolveu isso diretamente
    Para bloquear ad blockers eles se esforçam tanto, mas isso aqui deixam passar

    • Talvez o Google já soubesse desse problema
      Nesse caso, a pergunta mais importante seria “por que não tornou isso público?”

  • Foi compartilhado um comando para listar todos os IDs de extensões do Chrome instaladas no macOS

    find "$HOME/Library/Application Support/Google/Chrome" \
  -type d -path "*/Extensions/*" -not -path "*/Extensions/*/*" \
  -print 2>/dev/null | sed 's#.*/Extensions/##' | sort -u

    Depois é só comparar o resultado com a lista de extensões maliciosas