Cuando tenemos un ordenador que navega en páginas arriesgadas como descargas de software o multimedia o el usuario no tiene clara la configuración de seguridad del navegador podemos sufrir determinadas instalaciones de extensiones del navegador que incurren en un peligro para el usuario. Este peligro puede ser más o menos laxo y molesto en su comportamiento y puede llevar a la aparición de popups, el falseo de resultados en buscadores o incluso a la instalación de malware más avanzado.

Las extensiones pueden servir como añadidos muy útiles en el navegador, como la comunicación de  diferentes programas, periféricos o gestión de contenidos mostrados, incluso para desarrolladores. ¿Pero qué diferencia unos de otros? Las extensiones maliciosas se instalan casi de forma transparente al usuario, casi sin autorización y pueden llegar a bloquear su desinstalación.

Cada instalación crea una carpeta dentro de la ruta %APPDATA% como vemos en la imagen anterior, con un nombre de carpeta codificado por ejemplo: apdfllckaahabafndbhieahigkjlhalf.

Viendo  en el Chrome Store podemos ver que esa en concreto se refiere a Google Drive:

 

 

Con esta idea ya podemos identificar las diferentes extensiones, solamente usando el buscador de la Chrome Store de esta forma:

Pero queremos ir un paso más allá, y poder bloquear y desbloquear la instalación de extensiones a nuestro antojo, para evitar que ninguna extensión pueda instalarse sin nuestro permiso o en un descuido nuestro. Para ello debemos ir a la ruta C:\Users\nuestrousuario\AppData\Local\Google\Chrome\User Data\Default y establecer un permiso de no escritura en los usuarios administradores o en nuestro usuario si solo tenemos uno en nuestro ordenador. Al deshabilitar el permiso de escritura Chrome no puede mover la extensión una vez descargada a dicha carpeta y por lo tanto la aplicación no puede ser instalada como podemos observar a continuación.

Pero podemos ir un poco más allá y seguir investigando esa carpeta. Dentro vemos que existen una carpeta temporal la cual es utilizada para descargar las extensiones de Chrome con archivos de extensión .CRX, incluso podemos hacer copias de nuestras extensiones o crear las nuestras desde “chrome://extensions” o en la ventana de Configuración -> Herramientas -> Extensiones.

Vamos a observar que sucede entonces si deshabilitamos los permisos de escritura solamente en la carpeta Temp:

El resultado es el esperado, ¿pero cómo podríamos automatizar el proceso? De una forma sencilla podemos utilizar el comando attrib de ms-dos para establecer los permisos pertinentes o chmod en caso de una distribución GNU/Linux.

En el caso de los sistemas libres las extensiones se instalan en ~/.config/google-chrome/Default/Extensions/ pero el proceso a seguir seria el mismo.

 

La conclusión que podemos extraer de este pequeño artículo es clara, cada añadido a nuestro software incluye otro nivel de seguridad que puede ser un vector de ataque. Cada extensión debe ser actualizada y verificar que las fuentes de las que nos servimos son legítimas y confiables. La mayor parte de estas extensiones son serviles a sus objetivos y no entrañan un riesgo en sí mismo, pero la Chrome Store no está exenta de peligros.  Si queremos estar seguros, podemos analizar el archivo CRX con analizadores online como Virus Total por ejemplo que nos proporcionan un análisis exhaustivo de la extensión.

 

A modo de TO-DO nos podríamos plantear un script bien sea bach, python o del estilo  que encendiese y apagase la instalación de extensiones, podéis compartirlo si queréis, recordad que el conocimiento siempre tiene que ser libre.

 

Por: @RuidosoBSD

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">