El 20 de octubre se publicó en diferentes medios que Nano Adblocker y Nano Defender, dos extensiones para bloquear anuncios en el navegador Google Chrome y que contaban con cerca de 300.000 usuarios activos, fueron eliminadas tras descubrirse que su código había sido modificado a comienzos de mes para ser utilizado como spyware y recolectar datos de los usuarios.

¿Cuál fue la señal de alerta?

El desarrollador de las extensiones web Nano Adblocker y Nano Defender, ambas creadas a partir de la extensión de código abierto uBlock Origin, anunció vía GitHub que estas habían sido vendidas a un grupo anónimo de desarrolladores. Esto generó muchos interrogantes entre los usuarios: los nuevos desarrolladores no habían brindado detalles acerca de quiénes eran, no se había modificado la autoría en el proyecto y tampoco se renovó el repositorio donde el código estaba siendo alojado. Sin embargo, las extensiones fueron actualizadas por los nuevos desarrolladores.

Tras revisar la actualización, el desarrollador de uBlock Origin, Raymond Hill, descubrió a mediados de octubre que el código había sido modificado para actuar como Spyware.

¿Cómo se comportaban las extensiones?

La extensión se conecta a un servidor con el que interactuará luego: def.dev-nano.com y ha sido registrado de forma que evita este tipo de rastreos.

Por otra parte, la extensión instalada en el dispositivo del usuario recibe en un objeto ciertos campos especificados (que pueden ser ID de la solicitud realizada por el navegador, URL visitada, horario, entre otros) desde el servidor controlado por los desarrolladores. Estos campos se utilizan como condiciones para comparar con la información que se obtiene del estado actual del navegador y, de coincidir, la misma es enviada de nuevo al servidor.

En cuanto a las consecuencias de este comportamiento por parte de la extensión, una cantidad considerable de usuarios manifestó descubrir actividad en la red social Instagram, en particular likes y follows, que ellos no habían realizado.

Recomendaciones 

De ser uno de los usuarios o conocer a algún otro afectado por alguna de estas extensiones, recomendamos eliminarlas, cerrar sesión en las cuentas de redes sociales mencionadas y monitorear cualquier actividad sospechosa en las mismas. 

Asimismo, si bien no hay indicio de que hayan sido comprometidos datos más sensibles, recomendamos cambiar las contraseñas de los sitios afectados y, como siempre sugerimos, activar el doble factor de autenticación en aquellos sistemas donde confiemos información más sensible.

Para información más detallada o recomendaciones sobre cómo proteger de las amenazas a tu empresa y/o organización, contactános https://www.sixmanager.cl o a través de un correo electrónico: [email protected]