Una nuova indagine ha rilevato che decine di estensioni browser ampiamente utilizzate stanno raccogliendo e vendendo dati degli utenti a terze parti, spesso con il pieno consenso legale nascosto nelle loro politiche sulla privacy.
La ricerca, condotta da LayerX Security , ha identificato più di 80 estensioni browser che colpiscono almeno 6,5 milioni di utenti che monetizzano apertamente i dati personali.
A differenza delle tradizionali estensioni dannose che esfiltrano segretamente informazioni, molti degli strumenti segnalati operano entro limiti legali. Gli sviluppatori dichiarano esplicitamente le pratiche di raccolta e rivendita dei dati nelle loro politiche sulla privacy, rendendo l’attività consentita dalle normative attuali.
I ricercatori hanno scoperto che il problema è diffuso in diverse categorie di estensioni, inclusi bloccanti pubblicitari, strumenti multimediali e add-on per la produttività. In un caso, un gruppo di estensioni per bloccare le pubblicità con una base utenti combinata di oltre 5,5 milioni è stato trovato a raccogliere e vendere dati di navigazione.
I dati raccolti variano ma possono includere attività di navigazione, abitudini di streaming, informazioni demografiche e attributi personali dedotti come età e genere. Alcune estensioni sono state inoltre trovate in grado di tracciare l’attività tra piattaforme come Netflix, Amazon Prime Video e altri grandi servizi.
Un fattore chiave che consente queste pratiche è il consenso dell’utente, anche se raramente è informato. Secondo LayerX, molti utenti accettano permessi e termini di privacy senza consultarli, consentendo alle estensioni di raccogliere e vendere legalmente i loro dati.
Allo stesso tempo, la ricerca evidenzia lacune più ampie di trasparenza nell’ecosistema delle estensioni browser. Circa il 71% delle estensioni nel Chrome Web Store non pubblica affatto una politica sulla privacy, rendendo difficile per gli utenti capire come vengano gestiti i loro dati.
Gli esperti di sicurezza sottolineano che le estensioni del browser hanno un ampio accesso a informazioni sensibili, inclusa la cronologia di navigazione e il contenuto delle pagine, il che aumenta l’impatto potenziale sia della raccolta di dati legali che malevole.
I risultati indicano un modello di rischio doppio. Da un lato ci sono estensioni esplicitamente conformi che monetizzano i dati degli utenti attraverso pratiche divulgate. Dall’altro, estensioni dannose o compromesse che sfruttano privilegi di accesso simili senza divulgazione.
Man mano che gli strumenti basati su browser continuano ad espandere le loro funzionalità, i ricercatori avvertono che l’ecosistema delle estensioni rimane un canale in gran parte non regolamentato per la raccolta dati su larga scala. La combinazione di permessi ampi, controllo limitato e bassa consapevolezza degli utenti crea condizioni in cui i dati personali possono essere monetizzati su larga scala, spesso senza una trasparenza significativa.