Uma nova investigação descobriu que dezenas de extensões de navegador amplamente utilizadas estão coletando e vendendo dados de usuários para terceiros, muitas vezes com total consentimento legal escondido em suas políticas de privacidade.
A pesquisa, conduzida pela LayerX Security , identificou mais de 80 extensões de navegador que afetam pelo menos 6,5 milhões de usuários que monetizam abertamente dados pessoais.
Ao contrário das extensões maliciosas tradicionais que exfiltram informações secretamente, muitas das ferramentas sinalizadas operam dentro dos limites legais. Desenvolvedores divulgam explicitamente as práticas de coleta e revenda de dados em suas políticas de privacidade, tornando a atividade permitida pelas regulamentações atuais.
Pesquisadores descobriram que o problema é difundido em diferentes categorias de extensões, incluindo bloqueadores de anúncios, ferramentas de mídia e complementos de produtividade. Em um caso, um grupo de extensões de bloqueio de anúncios com uma base combinada de usuários de mais de 5,5 milhões foi encontrado coletando e vendendo dados de navegação.
Os dados coletados variam, mas podem incluir atividade de navegação, hábitos de streaming, insights demográficos e atributos pessoais inferidos, como idade e gênero. Algumas extensões também foram encontradas para acompanhar a atividade em plataformas como Netflix, Amazon Prime Video e outros grandes serviços.
Um fator chave que possibilita essas práticas é o consentimento do usuário, mesmo que raramente seja informado. Segundo a LayerX, muitos usuários aceitam permissões e termos de privacidade sem revisá-los, permitindo que extensões coletem e vendam legalmente seus dados.
Ao mesmo tempo, a pesquisa destaca lacunas mais amplas de transparência no ecossistema de extensões de navegador. Cerca de 71% das extensões na Chrome Web Store não publicam nenhuma política de privacidade, dificultando para os usuários entenderem como seus dados são tratados.
Especialistas em segurança observam que extensões de navegador têm amplo acesso a informações sensíveis, incluindo histórico de navegação e conteúdo das páginas, o que aumenta o impacto potencial tanto da coleta legal quanto maliciosa de dados.
Os resultados apontam para um modelo de risco duplo. De um lado estão extensões explicitamente compatíveis que monetizam os dados dos usuários por meio de práticas divulgadas. Por outro lado, extensões maliciosas ou comprometidas que exploram privilégios de acesso semelhantes sem divulgação.
À medida que as ferramentas baseadas em navegador continuam a expandir suas funcionalidades, pesquisadores alertam que o ecossistema de extensões continua sendo um canal amplamente não regulado para coleta de dados em larga escala. A combinação de permissões amplas, supervisão limitada e baixa consciência do usuário cria condições em que dados pessoais podem ser monetizados em larga escala, muitas vezes sem transparência significativa.