L'estensione di Chrome 'Save Image as Type', usata da milioni per salvare immagini WebP come JPG o PNG, è stata rimossa da Google dopo essere stata identificata come malware. Lo strumento, che richiedeva ampi permessi per accedere ai dati di navigazione, conteneva codice malizioso. Questo caso espone il rischio di concedere accesso senza limiti alle estensioni di terze parti.
Il rischio del 'cookie stuffing' e dei permessi eccessivi 🚨
La tecnica maliziosa rilevata è il 'cookie stuffing', dove l'estensione iniettava cookie di affiliato senza consenso per generare entrate fraudolente. Avendo permessi per all_urls, poteva leggere e modificare dati su qualsiasi sito visitato. Questo trasforma l'estensione in una chiave master che può accedere a sessioni attive, moduli e informazioni sensibili in email o banca online.
Il tuo convertitore di immagini ora lavora come affiliato 😒
Risulta che mentre tu ti sforzavi a convertire quel WebP in PNG per caricarlo sul forum, l'estensione aveva un secondo lavoro non dichiarato. Senza che lo sapessi, era lì, in background, a fare giochetti con cookie di affiliati per guadagnare una commissione extra. Un servizio di conversione di immagini con un extra di marketing non richiesto. Almeno era multifunzionale.