Incidente de segurança do plugin do Google: SwitchyOmega apresenta riscos potenciais, como prevenir a alteração do plugin?

Recentemente, alguns usuários descobriram que o conhecido plugin de troca de proxy SwitchyOmega pode ter uma vulnerabilidade de segurança que rouba chaves privadas. Este problema já tinha recebido um alerta de segurança no ano passado, mas alguns usuários podem não ter prestado atenção e ainda estão usando versões afetadas do plugin, enfrentando riscos sérios como vazamento de chaves privadas e sequestro de contas. Este artigo analisará a situação de modificação do plugin e discutirá como prevenir modificações em plugins e lidar com plugins maliciosos.

Revisão do evento

Este incidente teve origem numa investigação de um ataque. No dia 24 de dezembro de 2024, um funcionário de uma empresa recebeu um e-mail de phishing, o que levou à injeção de código malicioso no plugin do browser que publicou, tentando roubar os cookies e as passwords do browser dos utilizadores. Após investigação, foi descoberto que mais de 30 plugins na loja de plugins do Google já haviam sofrido ataques semelhantes, incluindo o Proxy SwitchOmega (V3).

Os atacantes conseguiram o controle da conta do desenvolvedor através de uma interface de autorização OAuth falsificada e, em seguida, carregaram uma nova versão da extensão que continha código malicioso. Utilizando o mecanismo de atualização automática do Chrome, os usuários afetados atualizaram para a versão maliciosa sem saber.

O relatório de investigação indica que os plugins afetados pelos ataques tiveram um total de mais de 500 mil downloads na loja do Google, com mais de 2,6 milhões de dados sensíveis de dispositivos de usuários sendo roubados, o que representa um grande risco de segurança para os usuários. Esses extensões adulteradas estiveram disponíveis na loja de aplicativos por até 18 meses, enquanto os usuários afetados quase não conseguiram perceber que seus dados haviam sido vazados.

Devido ao facto de a loja Chrome estar gradualmente a deixar de suportar plugins da versão V2, e como a versão oficial do SwitchyOmega é da versão V2, também está fora do suporte. A versão maliciosa contaminada é da versão V3, e a conta do desenvolvedor é diferente da conta da versão original V2. Neste momento, não é possível confirmar se esta versão foi publicada oficialmente, nem se a conta do desenvolvedor foi hackeada e a versão maliciosa foi carregada, ou se o autor da versão V3 já tinha comportamentos maliciosos.

Os especialistas em segurança recomendam que os usuários verifiquem o ID dos plugins instalados para confirmar se são versões oficiais. Se forem encontrados plugins afetados instalados, devem ser atualizados imediatamente para a versão de segurança mais recente ou removidos diretamente, a fim de reduzir o risco de segurança.

Como prevenir a alteração de plugins?

As extensões de navegador sempre foram um ponto fraco na segurança da web. Para evitar que os plugins sejam alterados ou que plugins maliciosos sejam baixados, os usuários precisam garantir a proteção de segurança em três aspectos: instalação, uso e gestão.

1. Baixe os plugins apenas de canais oficiais

   • Preferir usar a loja oficial do Chrome, não confie facilmente em links de download de terceiros na internet.
   • Evite usar plugins "crackeados" não verificados, muitos plugins modificados podem ter portas traseiras inseridas.

2. Esteja atento aos pedidos de permissões dos plugins

   • Conceda permissões com cuidado, alguns plugins podem solicitar permissões desnecessárias.
   • Ao encontrar um plugin que solicita a leitura de informações sensíveis, é imprescindível manter a vigilância.

3. Verifique regularmente os plugins instalados

   • Digite chrome://extensions/ na barra de endereços do Chrome para ver todas as extensões instaladas.
   • Preste atenção à data de atualização mais recente do plugin; se o plugin não for atualizado há muito tempo e de repente lançar uma nova versão, deve-se estar atento a possíveis alterações.
   • Verifique regularmente as informações do desenvolvedor do plugin; se o desenvolvedor do plugin mudar ou se houver alterações nas permissões, deve aumentar a vigilância.

4. Utilize ferramentas profissionais para monitorar o fluxo de fundos e evitar perdas de ativos

   • Se suspeitar de vazamento da chave privada, pode usar ferramentas relacionadas para monitorar transações na cadeia e entender rapidamente o fluxo de fundos.

Para as partes do projeto, como desenvolvedores e mantenedores de plugins, devem ser adotadas medidas de segurança mais rigorosas para prevenir riscos como adulteração maliciosa, ataques à cadeia de suprimentos, abuso de OAuth, entre outros:

1. Controle de Acesso OAuth

   • Restringir o âmbito da autorização, monitorizar os logs OAuth
   • Tente usar um mecanismo de token de curto prazo + token de atualização para evitar o armazenamento de tokens de alta permissão por longos períodos.

2. Aumentar a segurança da conta da loja de aplicações

   • Ativar a autenticação de dois fatores
   • Gerir com permissões mínimas

3. Auditoria regular

   • Realizar auditorias de segurança no código do plugin regularmente

4. Monitorização de plugins

   • Monitorizar em tempo real se o plugin foi sequestrado
   • Detectar problemas e retirar prontamente versões maliciosas, publicar um aviso de segurança e notificar os usuários para desinstalarem a versão infectada.

Como lidar com plugins que foram infectados com código malicioso?

Se descobrir que o plugin foi infectado por código malicioso, ou se suspeitar que o plugin pode apresentar riscos, recomenda-se que os usuários tomem as seguintes medidas:

1. Remover o plugin imediatamente

   • Aceda à página de gestão de extensões do Chrome, encontre a extensão afetada e remova-a.
   • Remover completamente os dados do plugin para evitar que códigos maliciosos remanescentes continuem a ser executados

2. Alterar informações confidenciais que podem ser divulgadas

   • Mude todas as senhas salvas do navegador, especialmente aquelas relacionadas a exchanges de criptomoedas e contas bancárias.
   • Criar uma nova carteira e transferir ativos com segurança (se o plugin tiver acesso à carteira de criptomoedas)
   • Verifique se a chave API foi divulgada e revogue imediatamente a chave API antiga, solicitando uma nova chave.

3. Escanear o sistema para verificar se há portas traseiras ou malware

   • Execute software antivírus ou ferramentas anti-malware
   • Verifique o arquivo Hosts, garantindo que não tenha sido alterado para endereços de servidores maliciosos
   • Verifique o mecanismo de busca e a página inicial padrão do navegador, pois alguns plugins maliciosos podem alterar essas configurações.

4. Monitorar se há atividade anômala na conta

   • Verifique o histórico de login da exchange e da conta bancária. Se encontrar logins de IPs anormais, deve mudar a senha imediatamente e ativar a autenticação de dois fatores.
   • Verifique o histórico de transações da carteira de criptomoedas para confirmar se há transferências anormais.
   • Verifique se as contas de redes sociais foram comprometidas; se houver mensagens privadas ou postagens suspeitas, altere a senha imediatamente.

5. Dar feedback à equipa oficial para prevenir que mais utilizadores sejam prejudicados.

   • Se descobrir que o plugin foi alterado, pode contactar a equipa de desenvolvimento original ou denunciar ao Chrome oficial.
   • Pode contactar a equipa de segurança, emitir alertas de risco e alertar mais utilizadores para a segurança.

Embora os plugins de navegador possam melhorar a experiência do usuário, eles também podem se tornar um ponto de ataque para hackers, trazendo riscos de vazamento de dados e perda de ativos. Portanto, os usuários, ao desfrutarem da conveniência, também precisam permanecer vigilantes e desenvolver bons hábitos de segurança, como instalar e gerenciar plugins com cautela, verificar permissões regularmente e atualizar ou remover plugins suspeitos de forma oportuna. Ao mesmo tempo, os desenvolvedores e as plataformas também devem reforçar as medidas de proteção de segurança, garantindo a segurança e a conformidade dos plugins. Somente com o esforço conjunto de usuários, desenvolvedores e plataformas, elevando a conscientização sobre segurança e implementando medidas de proteção eficazes, é que se pode realmente reduzir os riscos e garantir a segurança dos dados e ativos.