Una nuova indagine ha rivelato che quasi un milione di dispositivi con estensioni per browser installate vengono utilizzati come strumenti per lo scraping automatico di siti web, mettendo a rischio sicurezza e privacy degli utenti. La scoperta arriva da John Tuckner di SecurityAnnex, che ha analizzato ben 245 estensioni disponibili per Chrome, Firefox ed Edge, scaricate complessivamente circa 909.000 volte.
Sebbene queste estensioni abbiano apparentemente funzioni diverse, dalla gestione di segnalibri all’aumento del volume degli altoparlanti, condividono un elemento chiave: l’integrazione della libreria open source JavaScript MellowTel-js, utilizzata per monetizzare il traffico generato. Il meccanismo è semplice, ma pericoloso. Gli sviluppatori di MellowTel collaborano con Olostep, un’azienda che offre un servizio API di scraping web, capace di superare i sistemi di rilevamento bot e parallelizzare fino a 100.000 richieste in pochi minuti.
In pratica, i clienti paganti indicano quali pagine vogliono “visitare” e Olostep sfrutta la rete di browser con le estensioni attive per effettuare queste richieste, caricando siti web invisibili dentro iframe nascosti nelle pagine che l’utente sta visitando. Gli utenti, ignari, vedono il proprio browser trasformarsi in uno strumento al servizio di terzi. Questo metodo richiede che le estensioni modifichino dinamicamente le regole di sicurezza del browser, rimuovendo intestazioni fondamentali come Content-Security-Policy e X-Frame-Options. Queste intestazioni dovrebbero normalmente impedire il caricamento di contenuti non autorizzati e proteggere da attacchi come cross-site scripting. La loro rimozione, anche se temporanea, espone gli utenti a rischi reali, peggiorando la sicurezza della navigazione.
La libreria MellowTel attiva anche un websocket che comunica con un server AWS, inviando dati sulla posizione dell’utente, larghezza di banda disponibile e stato dell’estensione, mentre carica contenuti da una lista di siti sconosciuti e invisibili per l’utente. Questo comporta una grave erosione della privacy e un rischio potenziale anche per le reti aziendali che tentano di limitare l’esecuzione di codice non autorizzato.
Malgrado il fondatore di MellowTel sostenga che l’obiettivo sia solo la condivisione della banda per accedere in modo affidabile a dati pubblici, il metodo solleva dubbi etici e di sicurezza. Il fatto che gli utenti non possano sapere quali siti vengono visitati tramite il loro browser crea un problema di fiducia e aumenta il rischio di accesso a contenuti compromessi o malevoli. La situazione ricorda un precedente caso del 2019, quando estensioni installate su milioni di browser raccoglievano dati sensibili e li condividevano con servizi di analisi senza consenso. Tra le informazioni raccolte allora c’erano documenti riservati, dati personali e immagini private, dimostrando quanto grave possa essere la violazione quando questi meccanismi vengono sfruttati.
Ad oggi, alcune estensioni sono state rimosse o hanno eliminato la libreria MellowTel, ma molte restano attive, continuando a esporre milioni di utenti a questi rischi. L’assenza di una regolamentazione efficace e la difficoltà di controllo da parte degli utenti comuni rendono questo fenomeno una seria minaccia alla sicurezza del web.