Sicurezza Informatica: Il Rischio delle Estensioni di Chrome

La sicurezza online è una priorità sempre più rilevante nell'era digitale: un recente report dell'Università di Wisconsin-Madison solleva alcune questioni importanti sulla responsabilità delle piattaforme online, in particolare quelle che offrono estensioni per browser come Chrome, dove le password possono ancora essere archiviate in modo non sicuro.

“La scoperta che un’estensione ‘proof-of-concept’ capace di sottrarre password in chiaro, possa superare le misure di controllo del Chrome Web Store è solo la punta dell’iceberg.

Infatti è “impensabile che nel 2023 ci siano ancora dei siti Web, ed alcuni anche con milioni di visitatori al giorno, che memorizzino le password in chiaro all’interno dell’HTML dom.

Se a questo aggiungiamo la possibilità, tramite una semplice estensione del browser, di poter leggere tale password, il danno è fatto”.

Data breach: attenzione alle estensioni di Chrome

In un'epoca in cui la sicurezza dei dati sensibili è fondamentale, è necessario prestare attenzione a ogni aspetto quando si naviga online: lo studio dimostra come il modello di permessi, alla base delle estensioni di Chrome, viola i principi di privilegio minimo e che numerosi siti web con milioni di visitatori, conservano le password in chiaro nel codice sorgente HTML delle loro pagine web, consentendo a queste estensioni di poterle recuperare.

È quindi opportuno indagare anche sulla responsabilità delle piattaforme online, inclusi i portali che offrono estensioni e gli store ufficiali di app come l'App Store e l'Android Store.

La pratica di memorizzare le password in chiaro nell'HTML dei siti web è irresponsabile e rischiosa. Questo perché le estensioni possono sfruttare il DOM API per estrarre direttamente le password immesse dagli utenti, mettendo a repentaglio la sicurezza delle informazioni sensibili.

Come proteggersi dalle vulnerabilità dei browser e delle piattaforme online?

In seguito alcune best practice da seguire per mettere in sicurezza i propri dati digitali:

• Non scaricare estensioni inutili per Chrome, ampliando il perimetro d’attacco
• Assicurati di scaricare solo da marketplace ufficiali o verificati
• Adotta il metodo di autenticazione a due fattori (2FA), che rende inutilizzabile la password eventualmente violata
• Presta attenzione alle estensioni del browser, controllando le autorizzazioni e diffidando da quelle che richiedono privilegi non necessari

Responsabilità e Prevenzione: l’importanza della formazione sulla sicurezza informatica

Il report mette in luce, in questo modo, la responsabilità della sicurezza online che, tuttavia, non dovrebbe ricadere solo sugli utenti.

I portali online, gli store ed i tool per acquisire estensioni dei browser e funzionalità utili agli utenti, e piattaforme digitali come Facebook e LinkedIn, ad esempio, dovrebbero svolgere un ruolo attivo nella garanzia della sicurezza, offrendo strumenti e un approccio proattivo in grado di garantire la sicurezza dei dati dei propri utenti.

Pretendere che gli utenti distinguano i link sicuri da quelli potenzialmente dannosi è insufficiente: la sicurezza online è una responsabilità condivisa tra utenti e piattaforme ed è per questo che è fondamentale promuovere la cultura della sicurezza verso gli utenti ed una maggiore sensibilizzazione, che permette di prevenire gli attacchi informatici sempre più frequenti e sofisticati.

Quanto è preparata la tua organizzazione sulla sicurezza informatica in azienda?