Netcrook Logo
👤 SECPULSE
🗓️ 12 Feb 2026  

Il segreto sporco di Chrome: come centinaia di estensioni hanno trasformato 37 milioni di utenti in miniere d’oro di dati

Una vasta indagine svela un’epidemia silenziosa di estensioni Chrome spione che fanno trapelare i dati degli utenti verso broker oscuri e cybercriminali.

Tutto è iniziato con rallentamenti del browser e strani pop-up, ma in pochi immaginavano la vera minaccia nascosta dietro estensioni Chrome dal nome innocuo. Questa settimana, investigatori di cybersicurezza hanno rivelato che quasi 300 componenti aggiuntivi di Chrome - installati da oltre 37 milioni di persone - stavano sottraendo dati di navigazione privati e, in alcuni casi, persino rubando email e credenziali. La portata e la sofisticazione dell’operazione hanno lasciato di stucco gli esperti, esponendo il lato oscuro del browser più popolare al mondo.

L’anatomia di una cospirazione su Chrome

A differenza degli scandali sulla privacy del passato, questa campagna non si basava su malware evidente. Molte delle estensioni segnalate offrivano funzionalità apparentemente utili - gestione delle schede, assistenti IA o produttività email. Ma sotto la superficie, convogliavano ogni clic, ricerca e URL visitato direttamente verso server remoti controllati da broker di dati e società di analytics. Tra i nomi più noti emersi figurano Similarweb, “Big Star Labs”, Curly Doggo e Offidocs, con indizi che puntano anche ad attori collegati alla Cina.

La svolta tecnica è arrivata da ricercatori che hanno costruito una pipeline automatizzata per testare sistematicamente migliaia di estensioni. Eseguendo Chrome in un ambiente controllato e monitorando ogni byte di traffico in uscita, potevano individuare quando un’estensione faceva trapelare più dati man mano che gli URL diventavano più lunghi - un segnale rivelatore che il componente aggiuntivo stava trasmettendo di nascosto l’attività di navigazione. Il loro lavoro ha richiesto quasi 1.000 CPU-giorni, analizzando meticolosamente il comportamento di ciascuna estensione invece di limitarsi a permessi o descrizioni.

Esche IA e furti di email

L’inganno non si è fermato ai dati di navigazione. Un’altra indagine ha individuato un gruppo di 30 estensioni “IA”, inclusi strumenti popolari come “Gemini AI Sidebar”, che raccoglievano contenuti email e credenziali di accesso da oltre 300.000 utenti. Queste estensioni, ancora presenti nel Chrome Web Store al momento della scoperta, usavano trucchi ingegnosi: invece di eseguire l’IA in locale, caricavano contenuti remoti in frame del browser invisibili, consentendo agli operatori di cambiare tattica al volo ed eludere il processo di revisione di Google.

Alcune estensioni prendevano di mira specificamente Gmail, estraendo il contenuto dei messaggi - including le bozze - ogni volta che gli utenti richiamavano funzioni IA. Altre attivavano il riconoscimento vocale, potenzialmente catturando conversazioni private. I dati rubati venivano convogliati verso un unico dominio, con elementi che suggeriscono rivendita o nuove interrogazioni da parte di terzi, inclusa infrastruttura nota di filtraggio web e pubblicità.

E adesso? Restare al sicuro nel caos dei componenti aggiuntivi

Le rivelazioni sono un campanello d’allarme per gli utenti Chrome di tutto il mondo. Gli esperti consigliano di disinstallare qualsiasi estensione sospetta o non necessaria, attenersi a publisher affidabili con pratiche sulla privacy trasparenti e rivedere i permessi - soprattutto quelli che richiedono accesso a “tutti i tuoi dati sui siti web che visiti”. Per le organizzazioni, controlli rigorosi e liste di consentiti sono oggi più essenziali che mai. Man mano che l’ecosistema delle estensioni Chrome continua a crescere, cresce anche il suo appeal per cybercriminali e speculatori di dati.

L’entità completa delle conseguenze resta da vedere, ma una cosa è chiara: nella corsa alla comodità, milioni di persone hanno inconsapevolmente barattato la propria privacy. Con componenti aggiuntivi del browser sempre più potenti, la domanda incombe - chi sta davvero guardando il tuo web?

WIKICROOK

  • Man: Un attacco Man-in-the-Middle si verifica quando un hacker intercetta segretamente e possibilmente altera la comunicazione tra due parti, spacciandosi per ciascuna nei confronti dell’altra.
  • Permessi delle estensioni: I permessi delle estensioni definiscono a quali dati o funzionalità del browser un componente aggiuntivo può accedere o che cosa può modificare, con impatto su privacy e sicurezza dell’utente.
  • Honeypot: Un honeypot è un sistema fittizio predisposto per attirare attaccanti informatici, consentendo alle organizzazioni di studiare i metodi di attacco senza mettere a rischio risorse reali.
  • DOM (Document Object Model): Il DOM è il modo in cui il browser rappresenta e gestisce la struttura di una pagina web, permettendo agli script di modificare dinamicamente contenuti e layout.
  • Libreria di Readability: Una libreria di readability estrae e ripulisce il contenuto principale dalle pagine web, rimuovendo il superfluo per migliorare leggibilità, sicurezza e accessibilità per gli utenti.
Chrome extensions data privacy cybercrime
SECPULSE SECPULSE
SOC Detection Lead
← Back to news