Google y Microsoft Retiran ModHeader por Riesgo de Recopilación de Datos
Publicado el
Retiro de ModHeader por parte de Google y Microsoft
Google y Microsoft han decidido retirar ModHeader, una popular extensión para editar cabeceras, que cuenta con aproximadamente 1.6 millones de instalaciones en Chrome y Edge. Esta acción se tomó después de que investigadores de la firma de seguridad británica Stripe OLT detectaran un colector de historial de navegación oculto en su versión oficial.
El colector, aunque dormido y desactivado por una lista de permisos vacía, genera inquietudes sobre la posible recopilación de datos. Hasta la fecha, no se ha presentado evidencia de que haya recopilado o enviado algún dominio de navegación. Stripe OLT verificó el código de la extensión comparándolo con la firma de la tienda de Google, confirmando que el colector estaba incluido en la extensión genuina y no en una versión falsa.
La investigación se centró en la versión de Chrome, que tiene alrededor de 900,000 usuarios. Por su parte, la versión para Edge, que cuenta con unos 700,000 usuarios, fue retirada el 3 de julio, mientras que Google eliminó la de Chrome el 10 de julio.
La versión 7.0.18 (ID de extensión idgpnmonknjnojddfkpgkljpfnnfcklj) sigue funcionando como se anunciaba, editando cabeceras HTTP. Sin embargo, el mismo código también incluye un segundo sistema que, tras su instalación, crea una huella digital del dispositivo y carga una clave de cifrado predefinida. A medida que el usuario navega, la extensión captura el dominio de cada página y lo cifra, almacenando hasta 1,000 dominios distintos localmente.
Una vez al día, un programador agrupa la lista cifrada con la huella digital y la envía a api.stanfordstudies[.]com, eliminando la copia local. Este proceso se ejecuta en momentos aleatorios para evitar que todas las instalaciones envíen datos simultáneamente. Sin embargo, el colector solo se activa si el navegador coincide con una entrada en una lista de permisos interna, que en este caso estaba vacía, impidiendo la recopilación de dominios.
No obstante, la extensión enviaba información a un segundo dominio, extensions-hub[.]com, cada vez que se instalaba, actualizaba o desinstalaba. Además, un script en cada página había registrado metadatos de solicitudes en texto plano, lo que indica que algunas funcionalidades estaban activas.
A pesar de que herramientas automáticas calificaban a ModHeader con un bajo riesgo, algunos llegando a puntuarla con 95 sobre 100, la encriptación de los datos y el diseño de la extensión dificultan la detección de actividades maliciosas. La firma de la tienda asegura la procedencia del archivo, pero no garantiza la seguridad de su funcionalidad.
Orígenes y Advertencias
Los investigadores de Stripe OLT han vinculado los dominios implicados a una infraestructura real, aunque stanfordstudies[.]com no está asociado con Stanford, siendo una antigua dirección utilizada para publicidad. Los análisis revelaron que ambos puntos finales se resolvían en el mismo servidor de Amazon, sugiriendo un único operador, aunque no se pudo confirmar su identidad. Existen débiles señales que podrían apuntar a un operador de habla china, como la inclusión de un local de chino simplificado y un proveedor de correo de origen chino.
ModHeader ya había atraído quejas en 2023 por inyectar publicidad en los resultados de búsqueda, lo que levantó sospechas sobre su gestión. Aunque su sitio web actual afirma que no recopila datos de usuarios, esto contrasta con la existencia de un colector de historial.
Recomendaciones para Usuarios
Para quienes utilicen ModHeader, se recomienda desinstalar la extensión de Chrome y Edge, ya que es posible que su navegador ya la haya desactivado. Desinstalarla eliminará los datos almacenados, pero es crucial asegurarse de que la sincronización del perfil o una política de extensión gestionada no la reinstale. Si se han introducido secretos como claves API o cookies de sesión, se aconseja rotarlas, dado que se ha encontrado que la función de historial de cabeceras almacena datos completos en el disco.
Los defensores deben bloquear y registrar stanfordstudies[.]com y extensions-hub[.]com a nivel de DNS y proxy, así como buscar en los registros de actividad la ID de la extensión y cualquier POST enviado a api.stanfordstudies[.]com/app/log.