… elas estão sendo oferecidas por canais legítimos: pesquisadores de segurança cibernética identificaram uma campanha maliciosa que enganou mais de 260 mil usuários do navegador Google Chrome. 30 extensões fraudulentas foram encontradas na Chrome Web Store, todas se passando por ferramentas legítimas de Inteligência Artificial (IA). Apesar de serem cópias umas das outras com pequenas variações de marca, muitas acumularam dezenas de milhares de downloads, enganando usuários e o próprio Google, ao se apresentarem como assistentes de IA “inofensivos”…
“The Chrome Web Store has been infested with dozens of malicious browser extensions claiming to provide AI assistant functionality but that secretly are siphoning off personal information from victims. Researchers at LayerX identified 30 Google Chrome extensions that are carbon copies of one another, but for some superficial differences in how they’re branded. Many of them are quite popular, with tens of thousands of downloads apiece…”
— by Dark Reading.
O mecanismo do golpe é (relativamente) sofisticado: as extensões oferecem uma interface de chat que parece funcional, fornecendo respostas plausíveis geradas por IA. Na realidade, a interface é uma janela (iframe) que carrega conteúdo de um servidor controlado pelos atacantes. Quando a vítima digita uma solicitação, os dados são primeiro enviados aos criminosos, que podem tanto capturar a informação quanto redirecioná-la a uma IA legítima para gerar uma resposta, mantendo uma cópia de tudo aquilo que é digitado pelos usuários.
O grande perigo reside na normalização do uso de ferramentas de IA, onde os usuários frequentemente inserem informações altamente sensíveis, sem pensar duas vezes (ou ainda, pensam várias vezes, mas não chegam a nenhuma conclusão relevante). Um funcionário, por exemplo, poderia usar a extensão falsa para resumir dados de clientes em um sistema de CRM, resultando no vazamento dessas informações. Isso expõe as organizações a riscos severos, incluindo roubo de propriedade intelectual, violações de dados regulamentados e subsequentes ataques cibernéticos.
As extensões fraudulentas, com nomes sugestivos como “Gemini AI Sidebar” e “ChatGPT Translate”, conseguiram não apenas muitos downloads, mas também avaliações positivas e, em alguns casos, o selo de “Destaque” da própria Chrome Web Store, o que aumentava sua credibilidade. Muitas delas permaneciam disponíveis na loja mesmo após a divulgação do relatório de segurança. A pesquisadora Natalie Zargarov (LayerX), explica que o comportamento malicioso ocorre fora da plataforma, em servidores remotos, o que dificulta a detecção por meio de análises estáticas tradicionais da Google.
Este incidente sublinha uma nova e preocupante tendência: atacantes estão deixando de falsificar logins de bancos ou e-mails para se aproveitar da confiança depositada em interfaces de IA e ferramentas para desenvolvedores. A campanha destaca a necessidade de os usuários verificarem rigorosamente a origem e o desenvolvedor de qualquer extensão, especialmente as que prometem funcionalidades de IA, e a importância de mecanismos de revisão mais profundos por parte das plataformas, que vão além da análise superficial do código da extensão.
Em tempo: os iframes não foram definitivamente eliminados? Embora eu gostasse bastante deles (a ponto de usá-los há muitos anos, quando desenvolvia páginas em HTML puro), estes elementos apresentam sérios problemas de segurança, justamente por carregar conteúdos de domínios de terceiros, que por sua vez não podem ser devidamente verificados. Sem contar ainda, os problemas relacionados a indexação (por mecanismos de busca) e usabilidade (por dispositivos móveis).
Eis, a recomendação: utilize o mínimo de extensões possíveis! Senão… &;-D