A pesar de los esfuerzos de Google por mejorar la seguridad en Chrome mediante la implementación del Manifest V3, las extensiones maliciosas siguen encontrando maneras de eludir estas protecciones. Investigadores de seguridad de SquareX demostraron en la conferencia DefCon 32 cómo estas extensiones maliciosas pueden infiltrarse en la Chrome Web Store, incluso con las configuraciones de seguridad avanzadas.

El Manifest V3, diseñado para ofrecer mayores garantías en cuanto a la privacidad y seguridad de las extensiones, ha introducido medidas que deberían dificultar la actividad maliciosa. Sin embargo, según los investigadores, las extensiones aún cuentan con permisos demasiado amplios, lo que las hace susceptibles a ser utilizadas para actividades maliciosas, como robar material de video de plataformas como Google Meet o Zoom sin la necesidad de permisos adicionales.
Además de la captura de videos, estas extensiones pueden robar datos sensibles, como el historial de navegación y cookies de sesión, redirigir a los usuarios a sitios web maliciosos o incluso modificar repositorios privados de GitHub.
¿El Manifest V3 es suficiente?
A pesar de las mejoras implementadas en el Manifest V3, Vivek Ramachandran, fundador de SquareX, advierte que las extensiones de navegador siguen siendo un punto ciego en las tecnologías de detección de amenazas como las soluciones de detección y respuesta de endpoints (EDR) y detección y respuesta extendida (XDR). Los empleados pueden instalar extensiones maliciosas sin ser conscientes de los riesgos, lo que permite a los atacantes acceder a sistemas internos y datos sensibles de la empresa.
Ramachandran destaca que, sin un análisis dinámico y políticas de seguridad estrictas, las empresas no tienen manera de detectar ni bloquear ataques a través de extensiones maliciosas. El Manifest V3, aunque con buenas intenciones, aún está lejos de garantizar una protección completa frente a este tipo de amenazas.