{"id":30323,"date":"2025-12-03T10:19:33","date_gmt":"2025-12-03T08:19:33","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30323"},"modified":"2025-12-03T10:19:33","modified_gmt":"2025-12-03T08:19:33","slug":"chrome-extension-security-validation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/chrome-extension-security-validation\/30323\/","title":{"rendered":"Estensioni del browser: mai fidarsi, verificare sempre"},"content":{"rendered":"<p>Le estensioni dannose del browser rimangono un punto cieco significativo per i team di cybersecurity di molte organizzazioni. Sono diventati un appuntamento fisso nell\u2019arsenale dei cybercriminali, utilizzati per furto di sessioni e account, spionaggio, mascheramento di altre attivit\u00e0 criminali, frodi pubblicitarie e furto di criptovaluta. Gli incidenti di alto profilo che coinvolgono estensioni dannose sono frequenti, dalla <a href=\"https:\/\/www.kaspersky.com\/blog\/chrome-extension-malicious-updates-and-mitigations\/52871\/\" target=\"_blank\" rel=\"noopener nofollow\">compromissione dell\u2019estensione di sicurezza Cyberhaven<\/a> alla <a href=\"https:\/\/www.kaspersky.it\/blog\/suspicious-chrome-extensions-with-6-million-installs\/29749\/\" target=\"_blank\" rel=\"noopener\">pubblicazione di massa di estensioni infostealer<\/a>.<\/p>\n<p>Le estensioni attirano gli utenti malintenzionati perch\u00e9 dispongono di autorizzazioni e di un ampio accesso alle informazioni all\u2019interno di applicazioni SaaS e siti Web. Poich\u00e9 non sono applicazioni indipendenti, spesso esulano dai criteri di protezione e dagli strumenti di controllo standard.<\/p>\n<p>Il team di sicurezza di un\u2019azienda deve affrontare questo problema in modo sistematico. La gestione delle estensioni del browser richiede una combinazione di strumenti di gestione dei criteri e servizi o utilit\u00e0 specializzati di analisi delle estensioni. Questo argomento \u00e8 stato al centro dell\u2019intervento di Athanasios Giatsos al <a href=\"https:\/\/thesascon.com\" target=\"_blank\" rel=\"noopener nofollow\">Security Analyst Summit 2025<\/a>.<\/p>\n<h2>Funzionalit\u00e0 di minaccia delle estensioni Web e delle innovazioni in Manifest V3<\/h2>\n<p>L\u2019estensione Web di un browser ha ampio accesso alle informazioni della pagina Web: \u00e8 in grado di leggere e modificare qualsiasi dato disponibile per l\u2019utente tramite l\u2019applicazione Web, comprese cartelle cliniche o mediche. Le estensioni spesso ottengono inoltre l\u2019accesso a dati importanti in genere non visualizzati dagli utenti: cookie, archiviazione locale e impostazioni proxy. Questo semplifica notevolmente l\u2019hijacking della sessione. Talvolta, le funzionalit\u00e0 delle estensioni vanno ben oltre le pagine Web: possono accedere alla posizione dell\u2019utente, ai download del browser, all\u2019acquisizione della schermata del desktop, al contenuto degli Appunti e alle notifiche del browser.<\/p>\n<p>Nell\u2019architettura delle estensioni precedentemente dominante, le estensioni Manifest V2, che funzionavano su Chrome, Edge, Opera, Vivaldi, Firefox e Safari, sono praticamente indistinguibili dalle applicazioni complete in termini di funzionalit\u00e0. Possono eseguire continuamente script in background, mantenere aperte pagine Web invisibili, caricare ed eseguire script da siti Web esterni e comunicare con siti arbitrari per recuperare o inviare dati. Per frenare potenziali abusi, nonch\u00e9 per limitare <a href=\"https:\/\/www.kaspersky.it\/blog\/best-private-browser-in-2025\/29543\/\" target=\"_blank\" rel=\"noopener\">i blocchi degli annunci<\/a>, Google ha eseguito la transizione di Chromium e Chrome a Manifest V3. Questo aggiornamento ha limitato o bloccato molte funzionalit\u00e0 delle estensioni. Le estensioni ora devono dichiarare tutti i siti con cui comunicano, \u00e8 vietato eseguire codice di terze parti caricato dinamicamente e devono utilizzare microservizi di breve durata anzich\u00e9 script in background persistenti. Sebbene alcuni tipi di attacchi siano ora pi\u00f9 difficili da eseguire a causa della nuova architettura, gli utenti malintenzionati possono facilmente riscrivere il codice dannoso per mantenere la maggior parte delle funzioni necessarie sacrificando la furtivit\u00e0. Pertanto, affidarsi esclusivamente a browser ed estensioni che operano in Manifest V3 all\u2019interno di un\u2019organizzazione semplifica il monitoraggio, ma non \u00e8 una panacea.<\/p>\n<p>Inoltre, V3 non risolve il problema principale con le estensioni: in genere vengono scaricate dagli archivi di applicazioni ufficiali utilizzando domini legittimi Google, Microsoft o Mozilla. La loro attivit\u00e0 sembra essere avviata dal browser stesso, il che rende estremamente difficile distinguere le azioni eseguite da un\u2019estensione da quelle eseguite manualmente dall\u2019utente.<\/p>\n<h2>Come emergono le estensioni dannose<\/h2>\n<p>Attingendo a vari incidenti pubblici, Athanasios Giatsos evidenzia diversi scenari in cui le estensioni dannose possono emergere:<\/p>\n<ul>\n<li>Lo sviluppatore originale vende un\u2019estensione legittima e famosa. L\u2019acquirente quindi lo \u201cpotenzia\u201d con codice dannoso per la visualizzazione di annunci, lo spionaggio o altri scopi nefasti. Tra gli esempi sono inclusi <a href=\"https:\/\/securityaffairs.com\/114272\/malware\/the-great-suspender-extension-malware.html\" target=\"_blank\" rel=\"noopener nofollow\">The Great Suspender<\/a> e <a href=\"https:\/\/krebsonsecurity.com\/2020\/03\/the-case-for-limiting-your-browser-extensions\/\" target=\"_blank\" rel=\"noopener nofollow\">Page Ruler<\/a>.<\/li>\n<li>Gli autori degli attacchi compromettono l\u2019account dello sviluppatore e pubblicano un aggiornamento trojan per un\u2019estensione esistente, come nel caso di <a href=\"https:\/\/www.cyberhaven.com\/engineering-blog\/cyberhavens-preliminary-analysis-of-the-recent-malicious-chrome-extension\" target=\"_blank\" rel=\"noopener nofollow\">Cyberhaven<\/a>.<\/li>\n<li>L\u2019estensione \u00e8 progettata per essere dannosa sin dall\u2019inizio. Si maschera da utile utilit\u00e0, ad esempio un falso strumento <a href=\"https:\/\/www.kaspersky.it\/blog\/dangerous-browser-extensions-2023\/28358\/#:~:text=Rilide%20attacca%20gli%20utenti%20dei%20browser%20basati%20su\" target=\"_blank\" rel=\"noopener\">Salva in Google Drive<\/a>, o imita i nomi e il design delle estensioni popolari, come le decine di cloni di AdBlock disponibili.<\/li>\n<li>Una versione pi\u00f9 sofisticata di questo schema prevede inizialmente la pubblicazione dell\u2019estensione in uno stato pulito, in cui esegue una funzione realmente utile. Le aggiunte dannose vengono quindi introdotte settimane o addirittura mesi dopo, quando l\u2019estensione ha guadagnato abbastanza popolarit\u00e0. <a href=\"https:\/\/www.kaspersky.it\/blog\/dangerous-browser-extensions-2023\/28358\/#:~:text=False%20estensioni%20ChatGPT%20che%20violano%20gli%20account%20Facebook\" target=\"_blank\" rel=\"noopener\">ChatGPT per Google<\/a> \u00e8 un esempio.<\/li>\n<\/ul>\n<p>In tutti questi scenari, l\u2019estensione \u00e8 ampiamente disponibile nel Chrome Web Store e talvolta persino pubblicizzata. Tuttavia, esiste anche uno scenario di attacco mirato in cui pagine o messaggi di phishing richiedono alle vittime di installare un\u2019estensione dannosa <a href=\"https:\/\/www.kaspersky.it\/blog\/dangerous-browser-extensions-2023\/28358\/#:~:text=ChromeLoader%3A%20contenuto%20piratato%20con%20estensioni%20dannose\" target=\"_blank\" rel=\"noopener\">non disponibile al pubblico<\/a>.<\/p>\n<p>La distribuzione centralizzata tramite il Chrome Web Store, insieme agli aggiornamenti automatici sia per il browser che per le estensioni, spesso fa s\u00ec che gli utenti finiscano inconsapevolmente con un\u2019estensione dannosa senza alcuno sforzo da parte loro. Se un\u2019estensione gi\u00e0 installata in un computer riceve un aggiornamento dannoso, questo verr\u00e0 installato automaticamente.<\/p>\n<h2>Difese organizzative dalle estensioni dannose<\/h2>\n<p>Nel suo intervento, Athanasios ha offerto una serie di consigli generali:<\/p>\n<ul>\n<li>Adottare un criterio aziendale relativo all\u2019utilizzo delle estensioni del browser.<\/li>\n<li>Vietare le estensioni non esplicitamente incluse in un elenco approvato dai dipartimenti di cybersecurity e IT.<\/li>\n<li>Controllare continuamente tutte le estensioni installate e le relative versioni.<\/li>\n<li>Quando le estensioni vengono aggiornate, tenere traccia delle modifiche alle autorizzazioni concesse e monitorare eventuali modifiche nella propriet\u00e0 delle estensioni o del relativo team di sviluppatori.<\/li>\n<li>Integrare le informazioni sui rischi e sulle regole relativi all\u2019utilizzo delle estensioni del browser nei programmi di formazione sulla sensibilizzazione alla sicurezza rivolti a tutti i dipendenti.<\/li>\n<\/ul>\n<p>A questi consigli vengono aggiunti alcuni approfondimenti pratici e considerazioni specifiche.<\/p>\n<p><strong>Elenco limitato di estensioni e browser.<\/strong> Oltre ad applicare criteri di protezione al browser ufficialmente approvato dall\u2019azienda, \u00e8 fondamentale vietare l\u2019installazione di versioni portatili e <a href=\"https:\/\/www.kaspersky.it\/blog\/ai-browser-security-privacy-risks\/30077\/\" target=\"_blank\" rel=\"noopener\">browser AI alla moda come Comet<\/a> o altre soluzioni non autorizzate che consentono l\u2019installazione delle stesse estensioni pericolose. Durante l\u2019implementazione di questo passaggio, assicurarsi che i privilegi di amministratore locale siano limitati al personale IT e ad altro personale le cui attivit\u00e0 lavorative li richiedono.<\/p>\n<p>Nell\u2019ambito del criterio per il browser principale dell\u2019azienda \u00e8 necessario disabilitare la modalit\u00e0 sviluppatore e vietare l\u2019installazione delle estensioni dai file locali. Per Chrome, \u00e8 possibile gestire questa operazione tramite la <a href=\"https:\/\/support.google.com\/chrome\/a\/answer\/6177431?hl=it\" target=\"_blank\" rel=\"noopener nofollow\">Console di amministrazione<\/a>. Queste impostazioni sono disponibili anche tramite Criteri di gruppo di Windows, i profili di configurazione macOS o tramite un <a href=\"https:\/\/support.google.com\/chrome\/a\/answer\/7517525?hl=it\" target=\"_blank\" rel=\"noopener nofollow\">file dei criteri JSON<\/a> in Linux.<\/p>\n<p><strong>Aggiornamenti gestiti.<\/strong> Implementare <a href=\"https:\/\/support.google.com\/chrome\/a\/answer\/11190170?hl=it\" target=\"_blank\" rel=\"noopener nofollow\">il blocco delle versioni<\/a> per impedire l\u2019installazione immediata degli aggiornamenti per le estensioni consentite a livello aziendale. I team IT e cybersecurity devono testare periodicamente le nuove versioni delle estensioni approvate e aggiungere le versioni aggiornate solo dopo che sono state controllate.<\/p>\n<p><strong>Protezione multilivello<\/strong> \u00c8 obbligatorio installare un <a href=\"https:\/\/www.kaspersky.it\/enterprise-security\/endpoint-detection-response-edr?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">agente EDR<\/a> in tutti i dispositivi aziendali per impedire agli utenti di avviare browser non autorizzati, ridurre i rischi derivanti dalla visita di siti di phishing dannosi e bloccare i download di malware. \u00c8 inoltre necessario tenere traccia delle richieste DNS e del traffico di rete del browser a livello di firewall per il rilevamento in tempo reale delle comunicazioni con gli host sospetti e di altre anomalie.<\/p>\n<p><strong>Monitoraggio continuo.<\/strong> Utilizzare soluzioni EDR e <a href=\"https:\/\/www.kaspersky.it\/enterprise-security\/unified-monitoring-and-analysis-platform?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">SIEM<\/a> per raccogliere dettagli sullo stato del browser dalle workstation dei dipendenti. \u00c8 incluso l\u2019elenco delle estensioni in ogni browser installato, insieme ai file manifest per l\u2019analisi della versione e delle autorizzazioni. Ci\u00f2 consente il rilevamento rapido dell\u2019installazione di nuove estensioni o dell\u2019aggiornamento della versione e delle modifiche alle autorizzazioni concesse.<\/p>\n<h2>Come controllare le estensioni del browser<\/h2>\n<p>Per implementare i controlli sopra illustrati, l\u2019azienda necessita di un database interno delle estensioni approvate e vietate. Purtroppo, gli archivi di applicazioni e i browser stessi non offrono meccanismi per valutare i rischi su scala organizzativa o per popolare automaticamente tale elenco. Pertanto, il team di cybersecurity deve creare sia questo processo che l\u2019elenco. I dipendenti avranno inoltre bisogno di una procedura formale per l\u2019invio delle richieste di aggiunta di estensioni all\u2019elenco approvato.<\/p>\n<p>\u00c8 consigliabile condurre la valutazione delle esigenze aziendali e delle alternative disponibili con un rappresentante dell\u2019unit\u00e0 aziendale pertinente. La valutazione del rischio rimane tuttavia interamente responsabilit\u00e0 del team di sicurezza. Non \u00e8 necessario scaricare manualmente le estensioni e fare riferimento ad esse tra diversi archivi di estensioni. Questa attivit\u00e0 pu\u00f2 essere gestita da una gamma di strumenti, ad esempio utilit\u00e0 open source, servizi online gratuiti e piattaforme commerciali.<\/p>\n<p>Servizi come <a href=\"https:\/\/spin.ai\/application-risk-assessment\/\" target=\"_blank\" rel=\"noopener nofollow\">Spin.AI<\/a> e <a href=\"https:\/\/dex.koi.security\/\" target=\"_blank\" rel=\"noopener nofollow\">Koidex<\/a> (precedentemente ExtensionTotal) possono essere utilizzati per misurare il profilo di rischio generale. Entrambi gestiscono un database delle estensioni pi\u00f9 diffuse, quindi la valutazione \u00e8 in genere istantanea. Utilizzano LLM per generare un breve riepilogo delle propriet\u00e0 dell\u2019estensione, ma forniscono anche un\u2019analisi dettagliata, incluse le autorizzazioni richieste, il profilo dello sviluppatore e la cronologia di versioni, classificazioni e download.<\/p>\n<p>Per esaminare i dati principali sulle estensioni, \u00e8 inoltre possibile utilizzare <a href=\"https:\/\/chrome-stats.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Chrome-Stats<\/a>. Sebbene progettato principalmente per gli sviluppatori di estensioni, questo servizio visualizza valutazioni, recensioni e altri dati del negozio. Fondamentalmente, consente agli utenti di scaricare direttamente la versione corrente e diverse versioni precedenti di un\u2019estensione, il che semplifica le indagini sugli incidenti.<\/p>\n<p>\u00c8 possibile utilizzare strumenti come <a href=\"https:\/\/github.com\/Rob--W\/crxviewer\" target=\"_blank\" rel=\"noopener nofollow\">CRX Viewer<\/a> per un\u2019analisi pi\u00f9 approfondita delle estensioni sospette o mission-critical. Questo strumento consente agli analisti di esaminare i componenti interni dell\u2019estensione, filtrando e visualizzando comodamente i contenuti con enfasi sul codice HTML e JavaScript.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"29770\">\n","protected":false},"excerpt":{"rendered":"<p>Misure sistematiche e strumenti che le organizzazioni possono utilizzare per difendersi dalle estensioni dannose del browser.<\/p>\n","protected":false},"author":2722,"featured_media":30324,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[3812,142,30,1902,615,1007,638,62,910,925,753,3904],"class_list":{"0":"post-30323","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-azienda","11":"tag-browser","12":"tag-chrome","13":"tag-estensioni","14":"tag-firefox","15":"tag-frodi","16":"tag-minacce","17":"tag-password","18":"tag-safari","19":"tag-sas","20":"tag-tecnologia","21":"tag-thesas2025"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/chrome-extension-security-validation\/30323\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/chrome-extension-security-validation\/29851\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/chrome-extension-security-validation\/24921\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/chrome-extension-security-validation\/13036\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/chrome-extension-security-validation\/29747\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/chrome-extension-security-validation\/28795\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/chrome-extension-security-validation\/31684\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/chrome-extension-security-validation\/40914\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/chrome-extension-security-validation\/14048\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/chrome-extension-security-validation\/54795\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/chrome-extension-security-validation\/23425\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/chrome-extension-security-validation\/32947\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/chrome-extension-security-validation\/35680\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/chrome-extension-security-validation\/35308\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/browser\/","name":"browser"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30323","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30323"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30323\/revisions"}],"predecessor-version":[{"id":30325,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30323\/revisions\/30325"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30324"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30323"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30323"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30323"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}