Google e Microsoft removeram o ModHeader, uma extensão popular para edição de cabeçalhos com cerca de 1,6 milhão de instalações no Chrome e no Edge, depois que pesquisadores encontraram um coletor oculto de histórico de navegação embutido na versão oficial publicada nas lojas.
O coletor estava inativo.
Uma lista de permissão vazia o mantinha desligado, e não surgiu nenhuma prova de que ele tenha coletado ou enviado sequer um domínio de navegação.
A análise foi feita pela Stripe OLT, uma empresa de segurança do Reino Unido, que comparou o código com a assinatura da própria Web Store do Google e confirmou que o coletor vinha dentro da extensão legítima, e não de uma cópia falsificada.
A avaliação cobre a versão para Chrome e seus cerca de 900.000 usuários.
Rastreadores de terceiros estimam mais 700.000 instalações no Edge.
A Microsoft retirou a listagem do Edge em 3 de julho, e o Google removeu a do Chrome uma semana depois, em 10 de julho.
A versão 7.0.18, identificada pelo ID da extensão idgpnmonknjnojddfkpgkljpfnnfcklj, ainda edita cabeçalhos HTTP como anunciado.
O mesmo código de fundo compactado também traz um segundo sistema.
Na primeira execução, ele cria uma impressão digital do dispositivo e carrega uma chave de criptografia hardcoded.
À medida que você navega, ele captura o domínio de cada página aberta, criptografa a informação e a armazena localmente, até um limite de 1.000 domínios distintos.
Uma vez por dia, um agendador empacota a lista criptografada junto com a impressão digital do dispositivo, envia tudo para api.stanfordstudies[.]com e apaga a cópia local.
O horário do envio é escalonado por instalação, de modo que navegadores com a extensão não fariam contato ao mesmo tempo caso o coletor fosse ativado.
Análises independentes, uma do HackIndex na versão 7.0.18 e outra do pesquisador Yunus Aydin na 7.0.17, descrevem o mesmo fluxo.
O coletor só roda se o navegador corresponder a uma entrada em uma lista interna de permissão, e essa lista vem vazia.
A verificação falha sempre, então o fluxo para antes de coletar qualquer domínio.
Preencher essa lista seria uma mudança pequena, sem novas permissões e sem qualquer ação do usuário, entregue como uma atualização rotineira.
A chave hardcoded, o endpoint, o agendador e a lógica de armazenamento já estão no código.
Nem tudo estava inativo.
Na instalação, atualização e desinstalação, a extensão consultava um segundo domínio, extensions-hub[.]com, com o produto, a versão e o navegador.
Além disso, um script executado em todas as páginas já registrava metadados reais de requisições no armazenamento local em texto simples, o que mostra que essa parte de fato estava funcionando.
Verificadores automáticos classificavam o ModHeader como de baixo risco, alguns com nota de até 95 em 100.
Cada parte do desenho foi pensada para enganar um tipo diferente de verificação.
Os dados são criptografados, então o scanner enxerga apenas texto cifrado.
O envio fica bloqueado, então o sandbox não vê nada sair.
O código malicioso está compactado dentro de uma base legítima.
Os endpoints não tinham reputação maliciosa consolidada para acionar alertas.
E uma extensão assinada e popular aparenta ser confiável.
A assinatura da loja comprova de onde um arquivo veio, não o que ele faz.
Para onde levam os domínios
A Stripe OLT vinculou os domínios a uma infraestrutura real e mantida.
O stanfordstudies[.]com não tem ligação com Stanford.
Ele é um domínio antigo reaproveitado para uma camada de frente de um back end OpenSearch, enquanto o extensions-hub[.]com está configurado para publicidade.
No momento da análise, os dois endpoints da API resolviam para o mesmo servidor da Amazon, o que combina com um único operador, embora não prove isso.
Alguns sinais fracos apontam de forma indireta para um operador que fala chinês, como um idioma configurado em chinês simplificado, um marcador “salt” escrito com o caractere 盐 e um provedor de e-mail com origem na China.
Os pesquisadores não atribuem o caso a nenhum grupo.
Os sinais de alerta vieram antes.
Em 2023, o ModHeader recebeu reclamações por injetar anúncios nos resultados de busca e, segundo relatos, passou a ser sustentado por publicidade por volta desse período.
Quem assumiu o controle da extensão não foi confirmado, e os pesquisadores não fazem afirmações sobre o autor original.
O próprio site do ModHeader ainda publica um plano de anúncios que afirma não coletar dados do usuário, o que é difícil de conciliar com um coletor de histórico de navegação embutido, mesmo que desativado.
Até a publicação, o desenvolvedor não havia respondido publicamente às descobertas.
Segundo o The Hacker News, foram feitas tentativas de contato com o ModHeader para obter comentários e perguntas adicionais à Stripe OLT.
O texto será atualizado se houver resposta.
Em 2021, Brian Krebs descreveu como extensões populares podem ser compradas discretamente e transformadas em canais de coleta de dados.
O caso atual lembra esse padrão, agora com criptografia e uma barreira que impede os scanners de enxergar o envio.
Neste ano, uma série de extensões para Chrome foi flagrada coletando dados sob o rótulo de “análises anônimas”, e outro conjunto se passou por Workday e NetSuite para roubar cookies de sessão.
Editores de cabeçalho e gerenciadores de cookies precisam de amplo acesso para funcionar, e, quando a confiança se rompe, o impacto pode ser amplo.
O que fazer
Se você tem o ModHeader instalado, remova-o do Chrome e do Edge.
Seu navegador já pode tê-lo desativado.
A desinstalação apaga os dados armazenados, então vale verificar se a sincronização do perfil ou alguma política de extensão gerenciada não vai reinstalá-lo.
Se você inseriu segredos nele, como chaves de API, tokens bearer e cookies de sessão, faça a rotação deles, porque os pesquisadores encontraram a função de histórico de cabeçalhos armazenando cabeçalhos HTTP completos no disco.
Para equipes de defesa, bloqueie e registre stanfordstudies[.]com e extensions-hub[.]com no DNS e no proxy, e procure nos logs pelo ID da extensão e por qualquer POST para api.stanfordstudies[.]com/app/log.
As remoções resolvem este caso específico.
O que realmente deveria preocupar é o desenho: um coletor completo, validado pela loja, escondido dentro de uma ferramenta confiável e popular, aparentemente pronto para ser ativado quando uma atualização comum preenchesse a lista vazia.
Os scanners automáticos o classificaram como de baixo risco, e a próxima ferramenta construída dessa forma pode parecer igualmente limpa.
A lição prática é estreita, mas importante: a revisão de extensões precisa observar caminhos de código adormecidos que os testes nunca acionam, novos endpoints de comunicação e uma capacidade que uma atualização rotineira pode acrescentar depois de uma mudança de mãos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...