browser

Estensioni del browser: mai fidarsi, verificare sempre

Misure sistematiche e strumenti che le organizzazioni possono utilizzare per difendersi dalle estensioni dannose del browser.

Stan Kaminsky
3 Dic 2025

Le estensioni dannose del browser rimangono un punto cieco significativo per i team di cybersecurity di molte organizzazioni. Sono diventati un appuntamento fisso nell’arsenale dei cybercriminali, utilizzati per furto di sessioni e account, spionaggio, mascheramento di altre attività criminali, frodi pubblicitarie e furto di criptovaluta. Gli incidenti di alto profilo che coinvolgono estensioni dannose sono frequenti, dalla compromissione dell’estensione di sicurezza Cyberhaven alla pubblicazione di massa di estensioni infostealer.

Le estensioni attirano gli utenti malintenzionati perché dispongono di autorizzazioni e di un ampio accesso alle informazioni all’interno di applicazioni SaaS e siti Web. Poiché non sono applicazioni indipendenti, spesso esulano dai criteri di protezione e dagli strumenti di controllo standard.

Il team di sicurezza di un’azienda deve affrontare questo problema in modo sistematico. La gestione delle estensioni del browser richiede una combinazione di strumenti di gestione dei criteri e servizi o utilità specializzati di analisi delle estensioni. Questo argomento è stato al centro dell’intervento di Athanasios Giatsos al Security Analyst Summit 2025.

Funzionalità di minaccia delle estensioni Web e delle innovazioni in Manifest V3

L’estensione Web di un browser ha ampio accesso alle informazioni della pagina Web: è in grado di leggere e modificare qualsiasi dato disponibile per l’utente tramite l’applicazione Web, comprese cartelle cliniche o mediche. Le estensioni spesso ottengono inoltre l’accesso a dati importanti in genere non visualizzati dagli utenti: cookie, archiviazione locale e impostazioni proxy. Questo semplifica notevolmente l’hijacking della sessione. Talvolta, le funzionalità delle estensioni vanno ben oltre le pagine Web: possono accedere alla posizione dell’utente, ai download del browser, all’acquisizione della schermata del desktop, al contenuto degli Appunti e alle notifiche del browser.

Nell’architettura delle estensioni precedentemente dominante, le estensioni Manifest V2, che funzionavano su Chrome, Edge, Opera, Vivaldi, Firefox e Safari, sono praticamente indistinguibili dalle applicazioni complete in termini di funzionalità. Possono eseguire continuamente script in background, mantenere aperte pagine Web invisibili, caricare ed eseguire script da siti Web esterni e comunicare con siti arbitrari per recuperare o inviare dati. Per frenare potenziali abusi, nonché per limitare i blocchi degli annunci, Google ha eseguito la transizione di Chromium e Chrome a Manifest V3. Questo aggiornamento ha limitato o bloccato molte funzionalità delle estensioni. Le estensioni ora devono dichiarare tutti i siti con cui comunicano, è vietato eseguire codice di terze parti caricato dinamicamente e devono utilizzare microservizi di breve durata anziché script in background persistenti. Sebbene alcuni tipi di attacchi siano ora più difficili da eseguire a causa della nuova architettura, gli utenti malintenzionati possono facilmente riscrivere il codice dannoso per mantenere la maggior parte delle funzioni necessarie sacrificando la furtività. Pertanto, affidarsi esclusivamente a browser ed estensioni che operano in Manifest V3 all’interno di un’organizzazione semplifica il monitoraggio, ma non è una panacea.

Inoltre, V3 non risolve il problema principale con le estensioni: in genere vengono scaricate dagli archivi di applicazioni ufficiali utilizzando domini legittimi Google, Microsoft o Mozilla. La loro attività sembra essere avviata dal browser stesso, il che rende estremamente difficile distinguere le azioni eseguite da un’estensione da quelle eseguite manualmente dall’utente.

Come emergono le estensioni dannose

Attingendo a vari incidenti pubblici, Athanasios Giatsos evidenzia diversi scenari in cui le estensioni dannose possono emergere:

Lo sviluppatore originale vende un’estensione legittima e famosa. L’acquirente quindi lo “potenzia” con codice dannoso per la visualizzazione di annunci, lo spionaggio o altri scopi nefasti. Tra gli esempi sono inclusi The Great Suspender e Page Ruler.
Gli autori degli attacchi compromettono l’account dello sviluppatore e pubblicano un aggiornamento trojan per un’estensione esistente, come nel caso di Cyberhaven.
L’estensione è progettata per essere dannosa sin dall’inizio. Si maschera da utile utilità, ad esempio un falso strumento Salva in Google Drive, o imita i nomi e il design delle estensioni popolari, come le decine di cloni di AdBlock disponibili.
Una versione più sofisticata di questo schema prevede inizialmente la pubblicazione dell’estensione in uno stato pulito, in cui esegue una funzione realmente utile. Le aggiunte dannose vengono quindi introdotte settimane o addirittura mesi dopo, quando l’estensione ha guadagnato abbastanza popolarità. ChatGPT per Google è un esempio.

In tutti questi scenari, l’estensione è ampiamente disponibile nel Chrome Web Store e talvolta persino pubblicizzata. Tuttavia, esiste anche uno scenario di attacco mirato in cui pagine o messaggi di phishing richiedono alle vittime di installare un’estensione dannosa non disponibile al pubblico.

La distribuzione centralizzata tramite il Chrome Web Store, insieme agli aggiornamenti automatici sia per il browser che per le estensioni, spesso fa sì che gli utenti finiscano inconsapevolmente con un’estensione dannosa senza alcuno sforzo da parte loro. Se un’estensione già installata in un computer riceve un aggiornamento dannoso, questo verrà installato automaticamente.

Difese organizzative dalle estensioni dannose

Nel suo intervento, Athanasios ha offerto una serie di consigli generali:

Adottare un criterio aziendale relativo all’utilizzo delle estensioni del browser.
Vietare le estensioni non esplicitamente incluse in un elenco approvato dai dipartimenti di cybersecurity e IT.
Controllare continuamente tutte le estensioni installate e le relative versioni.
Quando le estensioni vengono aggiornate, tenere traccia delle modifiche alle autorizzazioni concesse e monitorare eventuali modifiche nella proprietà delle estensioni o del relativo team di sviluppatori.
Integrare le informazioni sui rischi e sulle regole relativi all’utilizzo delle estensioni del browser nei programmi di formazione sulla sensibilizzazione alla sicurezza rivolti a tutti i dipendenti.

A questi consigli vengono aggiunti alcuni approfondimenti pratici e considerazioni specifiche.

Elenco limitato di estensioni e browser. Oltre ad applicare criteri di protezione al browser ufficialmente approvato dall’azienda, è fondamentale vietare l’installazione di versioni portatili e browser AI alla moda come Comet o altre soluzioni non autorizzate che consentono l’installazione delle stesse estensioni pericolose. Durante l’implementazione di questo passaggio, assicurarsi che i privilegi di amministratore locale siano limitati al personale IT e ad altro personale le cui attività lavorative li richiedono.

Nell’ambito del criterio per il browser principale dell’azienda è necessario disabilitare la modalità sviluppatore e vietare l’installazione delle estensioni dai file locali. Per Chrome, è possibile gestire questa operazione tramite la Console di amministrazione. Queste impostazioni sono disponibili anche tramite Criteri di gruppo di Windows, i profili di configurazione macOS o tramite un file dei criteri JSON in Linux.

Aggiornamenti gestiti. Implementare il blocco delle versioni per impedire l’installazione immediata degli aggiornamenti per le estensioni consentite a livello aziendale. I team IT e cybersecurity devono testare periodicamente le nuove versioni delle estensioni approvate e aggiungere le versioni aggiornate solo dopo che sono state controllate.

Protezione multilivello È obbligatorio installare un agente EDR in tutti i dispositivi aziendali per impedire agli utenti di avviare browser non autorizzati, ridurre i rischi derivanti dalla visita di siti di phishing dannosi e bloccare i download di malware. È inoltre necessario tenere traccia delle richieste DNS e del traffico di rete del browser a livello di firewall per il rilevamento in tempo reale delle comunicazioni con gli host sospetti e di altre anomalie.

Monitoraggio continuo. Utilizzare soluzioni EDR e SIEM per raccogliere dettagli sullo stato del browser dalle workstation dei dipendenti. È incluso l’elenco delle estensioni in ogni browser installato, insieme ai file manifest per l’analisi della versione e delle autorizzazioni. Ciò consente il rilevamento rapido dell’installazione di nuove estensioni o dell’aggiornamento della versione e delle modifiche alle autorizzazioni concesse.

Come controllare le estensioni del browser

Per implementare i controlli sopra illustrati, l’azienda necessita di un database interno delle estensioni approvate e vietate. Purtroppo, gli archivi di applicazioni e i browser stessi non offrono meccanismi per valutare i rischi su scala organizzativa o per popolare automaticamente tale elenco. Pertanto, il team di cybersecurity deve creare sia questo processo che l’elenco. I dipendenti avranno inoltre bisogno di una procedura formale per l’invio delle richieste di aggiunta di estensioni all’elenco approvato.

È consigliabile condurre la valutazione delle esigenze aziendali e delle alternative disponibili con un rappresentante dell’unità aziendale pertinente. La valutazione del rischio rimane tuttavia interamente responsabilità del team di sicurezza. Non è necessario scaricare manualmente le estensioni e fare riferimento ad esse tra diversi archivi di estensioni. Questa attività può essere gestita da una gamma di strumenti, ad esempio utilità open source, servizi online gratuiti e piattaforme commerciali.

Servizi come Spin.AI e Koidex (precedentemente ExtensionTotal) possono essere utilizzati per misurare il profilo di rischio generale. Entrambi gestiscono un database delle estensioni più diffuse, quindi la valutazione è in genere istantanea. Utilizzano LLM per generare un breve riepilogo delle proprietà dell’estensione, ma forniscono anche un’analisi dettagliata, incluse le autorizzazioni richieste, il profilo dello sviluppatore e la cronologia di versioni, classificazioni e download.

Per esaminare i dati principali sulle estensioni, è inoltre possibile utilizzare Chrome-Stats. Sebbene progettato principalmente per gli sviluppatori di estensioni, questo servizio visualizza valutazioni, recensioni e altri dati del negozio. Fondamentalmente, consente agli utenti di scaricare direttamente la versione corrente e diverse versioni precedenti di un’estensione, il che semplifica le indagini sugli incidenti.

È possibile utilizzare strumenti come CRX Viewer per un’analisi più approfondita delle estensioni sospette o mission-critical. Questo strumento consente agli analisti di esaminare i componenti interni dell’estensione, filtrando e visualizzando comodamente i contenuti con enfasi sul codice HTML e JavaScript.

FileFix: una nuova variante di ClickFix

Utenti malintenzionati hanno iniziato a usare una nuova variante della tecnica ClickFix denominata “FileFix”. Spieghiamo come funziona e come difendere l’azienda da questo attacco.

Privacy e bambini

Estensioni del browser: mai fidarsi, verificare sempre

Funzionalità di minaccia delle estensioni Web e delle innovazioni in Manifest V3

Come emergono le estensioni dannose

Difese organizzative dalle estensioni dannose

Come controllare le estensioni del browser

Un mondo senza Adobe Flash

Flash, a mai più rivederci!

FileFix: una nuova variante di ClickFix

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia