Tu provavelmente usas várias extensões no teu Chrome, Firefox ou Edge para facilitar a vida. Seja um bloqueador de anúncios, um comparador de preços ou uma ferramenta de produtividade, estes pequenos utilitários parecem inofensivos. No entanto, a realidade é muito mais sombria do que imaginas. Recentemente, descobriu-se que uma vulnerabilidade crítica permite que estas extensões do browser vejam exatamente tudo o que tu escreves, incluindo as tuas passwords e dados bancários.
O perigo escondido no código: A falha do DOM
Em primeiro lugar, é crucial entender como o teu browser funciona por dentro. Quando tu visitas um site, o browser cria o que chamamos de DOM (Document Object Model). Basicamente, esta é a estrutura que organiza todos os elementos de uma página, desde o texto até aos campos onde inseres os teus dados.
Infelizmente, existe uma falha de design na forma como os browsers partilham estes dados com as extensões. Mesmo que uma extensão pareça legítima, ela tem permissão para ler o HTML da página em tempo real. Consequentemente, quando tu digitas a tua password, a extensão consegue capturar esses caracteres em texto limpo, ignorando aqueles asteriscos ou pontos que aparecem no ecrã para te dar uma falsa sensação de segurança.
Além disso, investigadores da Universidade de Wisconsin-Madison confirmaram que cerca de 15% dos sites mais populares armazenam dados sensíveis de uma forma que as extensões conseguem extrair facilmente. Isto inclui não só passwords, mas também números de cartões de crédito e dados de segurança social.
Extensões do browser a ler passwords? Não estás seguro
Talvez tu penses que estás seguro porque só instalas extensões com milhares de avaliações positivas. Contudo, esse é um dos maiores erros que podes cometer. Muitas vezes, extensões que foram legítimas durante anos são compradas por empresas mal-intencionadas ou sofrem ataques que substituem o seu código por software malicioso.
Casos reais que te vão assustar
MEGA.nz: Em 2018, a extensão oficial deste serviço de armazenamento foi comprometida, roubando passwords e chaves de criptografia de milhões de utilizadores em poucas horas.
ShadyPanda: Esta campanha afetou mais de 4 milhões de pessoas no Chrome e Edge, injetando código malicioso em extensões que tinham reputações impecáveis há mais de sete anos.
Trust Wallet: Recentemente, uma vulnerabilidade nesta extensão levou ao roubo de cerca de 7 milhões de dólares em criptomoedas.
Portanto, o facto de uma ferramenta ser popular não significa que ela seja segura hoje. Uma atualização silenciosa durante a noite é tudo o que um hacker precisa para transformar o teu browser numa ferramenta de espionagem.
O mito do browser seguro: Chrome vs Firefox
Adicionalmente, muitos utilizadores acreditam que mudar de browser resolve o problema. É comum ouvir que o Firefox é mais seguro que o Chrome, mas a verdade é que este ecossistema de extensões é vulnerável em todo o lado. Recentemente, a operação GhostPoster atacou utilizadores de Firefox através de extensões que escondiam código malicioso dentro de simples imagens PNG.
Desta forma, fica claro que o problema não é o browser em si, mas sim a liberdade excessiva que damos a pequenos programas de terceiros. Se tu tens dezenas de extensões instaladas, a tua superfície de ataque é enorme e estás a correr riscos desnecessários todos os dias.
Como podes proteger os teus dados agora?
Embora o cenário pareça assustador, existem passos concretos que tu podes dar para garantir que ninguém anda a espiar o que escreves. Em suma, a palavra de ordem é minimalismo.
1. Limpa a tua lista de extensões
Analisa agora mesmo todas as extensões que tens instaladas. Se não usaste uma delas nos últimos 30 dias, remove-a imediatamente. Quantas menos portas tiveres abertas, mais difícil será para um atacante entrar.
2. Usa as ferramentas nativas do browser
Atualmente, o Chrome e o Edge já têm gestores de passwords, ferramentas de captura de ecrã e tradutores integrados. Por isso, tu não precisas de extensões de terceiros para estas funções básicas. Utiliza o que já vem no sistema, pois é muito mais seguro.
3. Adota as Passkeys
Sempre que possível, substitui as tuas passwords por Passkeys. Como este sistema não exige que tu escrevas uma sequência de caracteres, as extensões não têm nada para “ler” ou capturar através do teclado.
4. Ativa a autenticação de dois fatores (2FA)
Mesmo que alguém consiga roubar a tua password através de uma extensão maliciosa, a autenticação de dois fatores servirá como uma última barreira de defesa. Assim, o atacante não conseguirá aceder à tua conta sem o código temporário do teu telemóvel.
Deves ter medo? Não precisas de deixar de usar extensões, mas deves tratá-las com o mesmo cuidado com que tratas os programas que instalas no teu computador. Verifica sempre as permissões que concedes e desconfia de pedidos excessivos para ler todos os teus dados em todos os sites.
