Grande parte do trabalho de um programador realiza-se agora no navegador, com separadores do GitHub, consolas na nuvem, CI/CD e ferramentas internas, todos autenticados e abertos ao mesmo tempo. As extensões do navegador funcionam neste ambiente com amplas permissões, incluindo frequentemente acesso ao conteúdo das páginas, aos pedidos de rede e aos dados da sessão. Essa combinação torna-as um dos alvos mais atraentes para os atacantes.
Uma única extensão de navegador desempenhou um papel importante na cadeia de ataque da violação de segurança da Vercel no início deste ano, e não será a última vez. Este artigo aborda como as extensões funcionam na prática, por que razão os controlos em que a maioria das organizações confia são insuficientes e o que funciona tanto a nível individual como organizacional.
Como funcionam as extensões do navegador e por que razão são vulneráveis
Vou ser breve nas definições, mas, em resumo, as extensões do navegador ampliam as funcionalidades do seu navegador de formas divertidas, através da instalação de software com privilégios avançados no navegador.
As extensões são desenvolvidas com base em APIs da Web e executam-se no próprio processo do navegador. Um ficheiro manifest.json declara as permissões que a extensão necessita no momento da instalação. Os service workers em segundo plano funcionam de forma contínua, tratando das solicitações de rede e da comunicação com servidores externos. Os scripts de conteúdo são inseridos no DOM da página separadamente, proporcionando à extensão acesso direto a tudo o que é apresentado no navegador.
Quando concede a uma extensão acesso a «todos os sites», está a dar-lhe acesso de leitura e escrita a todas as páginas que o navegador carrega, incluindo sessões autenticadas, entradas em formulários e respostas de API em trânsito. Elas podem ver muita coisa. As extensões não conseguem aceder diretamente ao cofre de um gestor de palavras-passe, mas também não precisam disso. Com as permissões de host adequadas e a injeção de scripts de conteúdo, podem interceptar eventos de preenchimento automático e ler os valores dos campos dos formulários antes do envio. Podem capturar credenciais à medida que escreve, se as palavras-passe estiverem em texto simples no código-fonte HTML (o que acontece com mais frequência do que seria de esperar).
Outro problema de segurança relacionado com as extensões do navegador é que estas são atualizadas de forma silenciosa e automática, sem solicitar consentimento. Ao contrário da maioria dos programas, que insistem para que o utilizador aprove as atualizações, uma extensão só o notifica se precisar de permissões adicionais para além das que já possui. Uma extensão que estava segura no mês passado pode receber uma atualização maliciosa esta noite, e todos os utilizadores que a tenham instalada irão recebê-la automaticamente.
Por que razão as extensões do navegador estão a ser utilizadas para ataques?
Já se ouve dizer que «o navegador é o novo ambiente de trabalho» pelo menos desde o lançamento do Chrome, e para os programadores isso não está longe de ser realidade. Se isso for verdade, então as extensões são as aplicações que funcionam nesse ambiente de trabalho, com acesso ao GitHub e às consolas da AWS.
Os cookies são um dos pontos vulneráveis. Os cookies de sessão podem ser extraídos e reproduzidos, dando a um atacante acesso a tudo aquilo em que a vítima está autenticada, a partir de qualquer lugar. Por isso, para um atacante, o acesso persistente a sessões de navegador autenticadas é bastante valioso. O Glassworm é um ataque contínuo à cadeia de abastecimento que comprometeu centenas de projetos no GitHub, npm e VS Code. Num desenvolvimento de 2026, descoberto pela equipa de investigação de segurança Aikido, a campanha implementou um malware que instalava especificamente uma extensão de navegador para roubar cookies de sessão e tokens das sessões do navegador. O atacante sabia que uma extensão seria uma forma fácil de roubar esses dados!
Também é relativamente fácil criar e publicar extensões maliciosas. Na maioria dos casos, o processo de verificação da Chrome Web Store é mínimo, e as atualizações de extensões já publicadas são alvo de pouca análise após a revisão inicial. Por exemplo, investigadores na Índia criaram e submeteram extensões maliciosas reais tanto à Chrome Web Store como à Firefox Add-ons Store entre janeiro e março de 2025, e várias foram aprovadas. Testaram nove tipos de extensões que abrangiam roubo de cookies, registo de teclas, captura de ecrãs, rastreamento do histórico de navegação, ativação da câmara, injeção de anúncios e acesso à caixa de entrada do Gmail. O Firefox deixou passar quase tudo, especialmente quando o comportamento malicioso estava incluído em algo que se autodenominava uma ferramenta de produtividade.
As extensões também podem ser compradas e vendidas discretamente. O Great Suspender é a história clássica de uma transferência de propriedade que correu mal. Era uma extensão de gestão de separadores muito apreciada e amplamente instalada. O autor, exausto de anos a manter a extensão sem receber qualquer remuneração, vendeu-a a outra pessoa (a clássica história dos mantenedores subvalorizados). O novo proprietário lançou atualizações que introduziram rastreamento e injeção de anúncios. Quando os investigadores alertaram para o novo comportamento, este já estava presente em milhões de navegadores há semanas.
Quais são alguns dos ciberataques que envolvem extensões de navegador?
As extensões de navegador têm sido responsáveis por alguns dos principais ataques dos últimos anos. Algumas continham cargas maliciosas, outras foram simplesmente comprometidas.
Veja-se o caso da violação da Vercel no início deste ano. Um funcionário da Vercel tinha instalado anteriormente a extensão do Chrome da Context.ai e concedido-lhe acesso OAuth ao seu Google Workspace. Posteriormente, um funcionário da Context.ai instalou malware e comprometeu as suas contas. O malware roubou credenciais e tokens OAuth armazenados no backend da Context.ai, incluindo o token OAuth da Vercel; em seguida, o atacante utilizou esse token para invadir os sistemas internos da Vercel.
Embora estejam aqui em causa outras práticas inseguras, tais como a falta de revisão e revogação de autorizações OAuth excessivamente poderosas e de longa data, bem como variáveis de ambiente que deveriam ter sido marcadas como confidenciais, a extensão do Chrome foi o ponto de entrada. A extensão em si não era maliciosa, mas tinha acesso a dados confidenciais e foi comprometida.
A violação da Cyberhaven no final de 2024 é a história de uma extensão que se transformou em malware, em que a extensão da Cyberhaven para o Chrome foi comprometida através de um ataque de phishing a uma conta de programador. Uma atualização maliciosa foi enviada a todos os utilizadores e permaneceu ativa durante 24 horas antes de alguém a detetar.
Em ambos os casos, o acesso à extensão do navegador foi o primeiro passo que tornou tudo o resto possível.
Por que razão os controlos de segurança das extensões do navegador falham
Muitas organizações não têm uma política formal relativa a extensões. As que têm, muitas vezes tentam bloquear tudo (o que os programadores e os utilizadores mais experientes em tecnologia facilmente contornam) ou recorrem a uma lista de permissões mantida manualmente, que está sempre um pouco desatualizada.
Manter a lista organizada e atualizada apresenta alguns obstáculos evidentes. Cerca de metade dos autores de extensões são desconhecidos e são validados apenas através de um endereço de Gmail, e 4 em cada 5 editores têm apenas uma extensão. Assim, gerir as extensões com base apenas na reputação só funciona para uma pequena parte delas, e mesmo as grandes empresas publicam extensões que não são totalmente irrepreensíveis.
No âmbito de um relatório de investigação anónimo, os investigadores identificaram 287 extensões, com um total combinado de 37,4 milhões de instalações, que estavam a extrair o histórico de navegação. A única forma de as detetar era através da análise comportamental do tráfego, pelo que a simples leitura das descrições não teria permitido identificá-las. Muitas das extensões envolvidas eram de nomes conhecidos.
Para não falar de que as extensões podem ser atualizadas ou passar de mãos sem que se perceba. É impossível manter-se a par de tudo com um processo manual de revisão das extensões.
Como proteger as extensões do navegador
As extensões do navegador apresentam um risco bastante elevado devido à forma como funcionam, mas ainda assim existem formas de tornar a sua utilização mais segura, sem as banir completamente.
A nível individual, há algumas precauções simples que se devem tomar:
- Verifique quais as extensões que estão instaladas no seu navegador neste momento e analise as suas permissões. As extensões podem sofrer alterações ao longo do tempo sem que seja informado, por isso é aconselhável rever as extensões que instalou há anos e às quais não presta atenção desde então.
- Desinstale as extensões de que não necessita ou que tenham permissões excessivamente amplas. Uma extensão que precise de acesso a todos os sites para formatar folhas de cálculo deve, no mínimo, levantar suspeitas. Pode verificar quais as aplicações, incluindo extensões, que têm acesso à sua conta Google na página de permissões da conta.
- Evite instalar extensões que exijam demasiadas permissões. Desconfie de extensões com permissões abrangentes provenientes de editores pequenos ou desconhecidos.
- Os perfis do navegador permitem separar o trabalho confidencial da navegação geral, o que limita o alcance dos danos caso algo corra mal. Mantenha o seu trabalho separado do seu perfil pessoal do navegador.
- Trate a instalação de extensões com o mesmo rigor que aplicaria a uma dependência do npm. Faça o seu trabalho de casa.
O que foi descrito acima funciona bem para o seu computador pessoal ou para uma equipa pequena, mas não é realmente escalável, nem é possível aplicá-lo a toda a empresa. A nível organizacional, os sistemas que funcionam têm o seguinte aspeto:
- Configurar o bloqueio prévio com base num Threat Intelligence dinâmico Threat Intelligence , em vez de uma lista estática atualizada manualmente
- Verifique continuamente as extensões para que as alterações de comportamento sejam detetadas rapidamente
- Visibilidade a nível de toda a empresa para que saiba o que está instalado antes que algo corra mal
- Políticas que tenham em conta o facto de que as áreas de engenharia, vendas e finanças apresentam perfis de risco e necessidades diferentes
- Sensibilize todos para as melhores práticas a nível individual, partilhando artigos como este e implementando formações em segurança (a Riot tem um bom produto para isso).
Nem todas as ferramentas de gestão de dispositivos suportam este tipo de gestão de extensões de navegador, pelo que deve verificar as funcionalidades da sua ferramenta MDM para ver se estas estão incluídas.
Aikido é uma solução que se adapta a este modelo de segurança para extensões de navegador. Trata-se de um agente leve, concebido para a superfície de ataque dos dispositivos dos programadores, que abrange estes aspetos. Bloqueia extensões maliciosas conhecidas antes da sua instalação, impõe uma retenção de 48 horas às extensões recém-publicadas e proporciona às equipas de segurança visibilidade sobre o que está instalado em todos os dispositivos dos programadores, com controlos de políticas ao nível da equipa e um fluxo de trabalho de aprovação que mantém os programadores sem restrições. A cobertura estende-se para além das extensões de navegador, abrangendo o npm, o PyPI, extensões de IDE e mercados de agentes de IA.
Impedir o próximo ataque através de extensões do navegador
A violação da Vercel não será o último incidente em que as extensões do navegador façam parte da cadeia de ataque. A superfície de ataque é demasiado valiosa, pelo que tanto os particulares como as empresas precisam de estar preparados.
O mesmo rigor aplicado às dependências de código aberto deve ser aplicado também aqui, e as organizações que o fizerem estarão numa posição muito mais vantajosa do que aquelas que esperam que um incidente force a discussão.
Saiba mais sobre Aikido ou explore o feedAikido para ver, em tempo real, o que foi detetado nos ecossistemas de código aberto.
{{cta}}
FAQ
O que faz com que as extensões do navegador constituam um risco de segurança?
As extensões do navegador são executadas no próprio processo do navegador e podem solicitar permissões abrangentes no momento da instalação. Uma extensão com acesso a todos os sites pode ler o conteúdo das páginas, interceptar pedidos de rede e aceder a sessões autenticadas em tudo o que o utilizador faz no navegador. Isso inclui ferramentas internas, consolas na nuvem e quaisquer credenciais ou tokens que passem por uma página. O modelo de permissões é poderoso por definição, e é esse poder que torna as extensões alvos atraentes para os atacantes.
Uma extensão do navegador pode roubar as minhas palavras-passe?
Nem sempre de forma direta, mas muitas vezes de forma eficaz. As extensões não conseguem desbloquear o cofre encriptado de um gestor de palavras-passe, mas também não precisam de o fazer. Com as permissões de anfitrião adequadas e a injeção de scripts de conteúdo, uma extensão pode interceptar eventos de preenchimento automático e ler os valores dos campos de formulário antes do envio. Se as credenciais aparecerem em texto simples no código-fonte HTML em qualquer momento, uma extensão com acesso a scripts de conteúdo pode lê-las. Uma extensão maliciosa com privilégios suficientes pode capturar as credenciais à medida que as digita.
As extensões do navegador atualizam-se automaticamente?
Sim, e sem pedir o seu consentimento! Ao contrário da maioria dos programas, que solicitam a sua aprovação para uma atualização, as extensões do navegador atualizam-se silenciosamente em segundo plano. A única exceção ocorre quando uma atualização solicita permissões adicionais para além das que foram originalmente concedidas. Uma extensão inofensiva que receba uma atualização maliciosa esta noite irá propagar essa atualização a todos os utilizadores automaticamente. Não teria como saber, a menos que estivesse a monitorizar ativamente o comportamento da extensão.
Como posso saber se uma extensão do navegador é segura para instalar?
Não existe um único indicador fiável, mas há alguns aspetos que pode verificar. Verifique quais as permissões que a extensão solicita e se estas correspondem ao que a extensão realmente precisa de fazer. Verifique se o editor é conhecido. Em caso de dúvida, encare a decisão da mesma forma que trataria a adição de uma dependência desconhecida a uma base de código de produção.
Por que é que a deteção de terminais não identifica atividades maliciosas de extensões do navegador?
A maioria das ferramentas de deteção e resposta em terminais não detecta as ameaças das extensões do navegador, porque tudo o que uma extensão maliciosa faz parece ser o Chrome a realizar as suas funções normais. Os pedidos de rede e o acesso ao DOM ocorrem dentro do processo do navegador e são indistinguíveis da atividade legítima do navegador ao nível do sistema.
Como posso gerir a segurança das extensões do navegador?
As organizações devem dar prioridade aos controlos baseados no comportamento em detrimento dos controlos baseados na identidade. Manter uma lista de extensões aprovadas atualizada manualmente não tem em conta as atualizações silenciosas nem as transferências de propriedade. O que funciona é o bloqueio pré-instalação com base num Threat Intelligence continuamente atualizado, a monitorização comportamental contínua para que as alterações às extensões já instaladas sejam detetadas e a visibilidade a nível da empresa sobre o que está efetivamente instalado nos dispositivos. As políticas também precisam de ter em conta o facto de que as áreas de engenharia, vendas e finanças têm perfis de risco diferentes e necessidades distintas em termos de extensões.
As extensões do Chrome são seguras? As extensões do Chrome não são intrinsecamente inseguras, mas apresentam riscos reais devido à sua conceção. O modelo de permissões concede às extensões um acesso alargado à atividade do navegador, e o processo de verificação da Chrome Web Store é mínimo. Uma extensão que pareça inofensiva no momento da instalação pode receber uma atualização maliciosa, ser vendida a um novo proprietário ou ser comprometida através da conta do seu programador. A segurança depende em grande medida da extensão específica, do seu editor e das permissões que solicita.
As empresas podem monitorizar as extensões do navegador? A maioria das organizações tem uma visibilidade limitada sobre quais as extensões instaladas nos seus dispositivos e o que essas extensões estão a fazer. As ferramentas de MDM podem aplicar listas de permissões, mas não detetam alterações de comportamento após a instalação. As ferramentas de EDR não detectam a maior parte da atividade das extensões, uma vez que esta é indistinguível do comportamento normal do navegador ao nível do sistema. A abordagem mais fiável atualmente disponível consiste na utilização de ferramentas dedicadas instaladas no dispositivo que verificam as instalações em relação a um Threat Intelligence em tempo real.
De que forma Aikido contribui para a segurança do navegador?
Aikido é instalado no dispositivo e inspeciona todas as extensões antes da sua instalação, bloqueando automaticamente as extensões maliciosas conhecidas com base Aikido , um Threat Intelligence atualizado continuamente. Além disso, impõe um bloqueio de 48 horas às extensões recém-publicadas, período em que é mais provável que novas ameaças passem despercebidas. As equipas de segurança obtêm visibilidade sobre o que está instalado em todos os dispositivos dos programadores, com controlos de políticas ao nível da equipa e um fluxo de trabalho de aprovação que mantém os programadores sem restrições. A monitorização de extensões de navegador está incluída no plano pago do Endpoint, juntamente com a cobertura para npm, PyPI, extensões IDE e mercados de agentes de IA.
