A conveniência oferecida pelas extensões de navegador é inegável, transformando nossos browsers em ferramentas personalizadas e mais poderosas. Contudo, uma investigação recente acende um alerta crucial sobre a segurança e a privacidade que sacrificamos em troca dessa funcionalidade. Um pesquisador de segurança independente divulgou uma análise preocupante, identificando um total de 245 extensões para Google Chrome, Microsoft Edge e Mozilla Firefox que utilizam uma biblioteca de monetização controversa, conhecida como MellowTel-js. A prática, embora lucrativa para os desenvolvedores, pode expor os usuários a riscos significativos de segurança e privacidade sem o seu consentimento explícito.
A MellowTel-js é uma ferramenta que permite aos desenvolvedores de extensões gerar receita de uma forma inovadora, porém obscura. Em vez de exibir anúncios tradicionais, a biblioteca integra o navegador do usuário a uma rede de proxy residencial. Na prática, isso significa que uma pequena fração da sua conexão de internet não utilizada é “emprestada” para terceiros. Empresas e laboratórios de inteligência artificial pagam para usar essa rede, pois ela lhes permite realizar web scraping – a extração automatizada de dados de sites – utilizando um vasto conjunto de endereços de IP residenciais. Essa técnica os ajuda a contornar bloqueios e a acessar informações como se fossem usuários comuns, e em troca, o desenvolvedor da extensão recebe uma parte da receita gerada.
O problema central, apontado pelo pesquisador que divulgou o caso na plataforma de tecnologia TabNews, reside na forma como essa funcionalidade é implementada e nos riscos de segurança que ela acarreta. A investigação técnica revelou que as extensões que incorporam a MellowTel-js injetam iframes ocultos nas páginas que o usuário visita. Esses elementos, invisíveis a olho nu, são os responsáveis por realizar as requisições em nome de terceiros, consumindo a banda larga do usuário sem qualquer indicação visual. O usuário instala uma ferramenta para, por exemplo, personalizar um tema ou bloquear anúncios, sem saber que seu computador foi transformado em um nó de uma rede de coleta de dados.
Mais alarmante ainda é a descoberta de que a biblioteca remove ativamente cabeçalhos de segurança essenciais durante essas requisições. Especificamente, os cabeçalhos Content-Security-Policy (CSP) e X-Frame-Options são suprimidos. O CSP funciona como uma camada de proteção que dita quais recursos um site pode carregar, prevenindo ataques de cross-site scripting (XSS). Já o X-Frame-Options impede que um site seja incorporado em um frame, uma técnica comum em ataques de clickjacking. Ao remover essas barreiras, a extensão não apenas executa suas próprias operações de forma oculta, mas também enfraquece a segurança geral da navegação, deixando o usuário mais vulnerável a outros tipos de ciberataques em qualquer site que visite.
A falta de transparência é outro ponto crítico. Embora seja possível que os termos de serviço de algumas dessas extensões mencionem a prática em letras miúdas, o usuário médio não é informado de maneira clara e direta que sua conexão de internet será compartilhada. A confiança depositada no desenvolvedor é, portanto, quebrada, pois a função principal da extensão mascara uma operação de monetização invasiva e potencialmente perigosa. A lista completa com as 245 extensões identificadas foi disponibilizada publicamente pelo pesquisador na plataforma TabNews, permitindo que os usuários verifiquem se estão utilizando alguma delas. A recomendação é revisar periodicamente as extensões instaladas e remover qualquer uma que não seja absolutamente essencial ou que tenha origem duvidosa.
E você, costuma revisar as extensões instaladas no seu navegador? Encontrou alguma da lista? Compartilhe sua experiência nos comentários!
Nota de Transparência: Esta matéria baseia-se nas descobertas de um pesquisador de segurança independente e divulgadas na plataforma TabNews. As informações sobre o funcionamento da biblioteca MellowTel-js e os riscos associados foram confirmadas através da análise técnica compartilhada publicamente.
Fontes:
TabNews, Análise de código da biblioteca MellowTel-js, Relatórios de segurança de tecnologia