Extensões de navegadores podem ajudar golpistas a roubarem suas criptomoedas, conforme alertou o CEO da Casa Jeremy Welch durante a conferência Baltic Honeybadger. Welch afirmou:
“Extensões de navegadores representam grandes riscos, e estes riscos não foram discutidos até agora.”
Extensões podem captar diversos dados, que podem ser vazados, roubados e utilizados por golpistas, conforme noticiou a Coindesk recentemente. Um exemplo é o histórico do navegador, que pode expor os hábitos online dos usuários, incluindo sites relacionados a criptomoedas. Welch alertou:
“Tenham certeza de que vocês não estão exibindo seus endereços de Bitcoin.”
Outra coisa para se ter em mente é que algumas extensões capturam as informações pessoais de usuários de exchanges, e podem vazá-las para golpistas. O único grande sistema multi-assinatura que requer KYC atualmente é o da Unchained Capital, segundo Welch. Ele também pede que as pessoas evitem softwares que coletam dados de identidade.
Como um exemplo, Welch demonstrou como uma extensão de papeis de parede com frases inspiradoras ou outro conteúdo estava roubando dados. O malware roubavam dados gráficos, como foto da carteira de motorista, que é capturada como um código e facilmente decodificada, fornecendo uma imagem atual do seu documento de identificação para hackers.
Tudo isso ocorre no plano de fundo, sem que o usuário note. Welch afirma:
“Você tem um plano de fundo e você nem percebe que seu navegador está despejando dados para outras pessoas.”
A mesma extensão de papel de parede pode alterar os endereços de recebimento quando você está tentando enviar criptomoedas para alguém (ou para você mesmo) – em vez disso, enviando para a carteira de um golpista. A ubiquidade e a popularidade de extensões de navegadores tornam a situação perigosa.
“É medonho, né? Todos nós usamos extensões nos navegadores o tempo todo.”
Mesmo que um usuário tome muito cuidado e seja seletivo, o software pode ser atualizado e inovar, acrescentando novas funcionalidades sem que o usuário perceba.
Welch ressaltou que muitos aplicativos conhecidos requerem permissões suficientes para coletar dados pessoais, incluindo gerenciadores de senha, o aplicativo de edição de texto Grammarly, a extensão Joule para transações de Lightning Network no navegador, e até mesmo a extensão da Casa chamada Sats.
A solução? De acordo com Welch, não há uma simples. Desenvolvedores podem continuar construindo ferramentas melhores que tornarão a experiência dos usuários melhor e mais segura.
“Precisamos discutir mais os problemas, pois nós nem mesmo estamos na fase dos ataques reais.”
Welch acrescentou que a Casa está planejando publicar uma pesquisa focada em segurança em breve, e encorajou desenvolvedores de Bitcoin e empresários a acionarem a companhia e dividir suas preocupações e ideias sobre como lidar com problemas de segurança.
Leia também: Departamento de Defesa dos EUA mira a blockchain para aumentar a cibersegurança