Periodicamente le società di cybersicurezza lanciano l'allarme su una o più estensioni per Chrome, raramente anche per Firefox, pericolose perché rubano i dati degli utenti che le usano. A metà dicembre 2020 Avast ne scoprì 28, il 24 dicembre Kaspersky ne ha intercettate 20, tre delle quali molto pericolose, tutto questo mentre Facebook ha da tempo portato in tribunale lo sviluppatore di diverse estensioni Chrome che rastrellano i dati dei profili Facebook di chi le usa e dei suoi amici.
Le estensioni per i browser, quindi, possono essere un grosso problema per la privacy ma, a dire il vero, tutte le estensioni di fatto accedono ad una gran quantità di dati dell'utente.
L'estensione Chrome e il conto in banca
Se usiamo delle estensioni su Chrome, su uno qualunque degli ormai tanti browser basati su Chromium, e a volte anche su Firefox e altri browser dobbiamo sapere chiaramente che ognuna di queste estensioni può accedere ai dati sulla nostra navigazione con quel browser.
Ciò significa che ci potrebbe essere un'estensione che "ci guarda" mentre accediamo la conto corrente, che può sapere quanti soldi abbiamo in banca, che può anche conoscere quale password usiamo per accedere al conto.
Ma non solo: la stessa estensione potrebbe avere accesso alle nostre conversazioni su Facebook, al contenuto delle nostre email, alla cronologia dei siti che visitiamo e a tutto ciò che facciamo online tramite un browser.
Ciò è dovuto ad un semplice fatto: glielo abbiamo concesso noi, quando l'abbiamo istallata.
I permessi richiesti dalle estensioni
La procedura per l'istallazione di una estensione per browser è simile a quella di una app per smartphone: ad un certo punto ci verrà chiesto di concedere delle autorizzazioni all'estensione, affinché possa funzionare correttamente.
Molte estensioni per funzionare richiedono il permesso di leggere e modificare tutti i dati sui siti Web che visitiamo. Se glielo concediamo, di fatto staremo consegnando le chiavi della nostra casa digitale a chi ha sviluppato l'estensione.
Se l'estensione ha il permesso di leggere e scrivere tutti i nostri dati sui siti Web che visitiamo, infatti, con quel "tutti" si intende proprio tutti, nessuno escluso. Non c'è infatti un modo per selezionare cosa l'estensione può "sbirciare" e cosa no: una volta ricevuta l'autorizzazione metterà in atto un monitoraggio costante di tutto ciò che facciamo online tramite il browser.
Esistono permessi più specifici, che l'app potrebbe chiedere e che tutelerebbero maggiormente la nostra privacy, ma la maggior parte delle estensioni mira all'accesso completo a tutti i dati di navigazione.
Da tempo, per questo, Google riceve pressioni affinché regoli in modo più stringente la questione autorizzazioni e permetta la pubblicazione solo delle estensioni che chiedono i permessi effettivamente necessari al funzionamento. Ma, al momento, le estensioni per i principali browser non sono regolate quasi per nulla: chiedono tutto, sta all'utente dire di no.
Le estensioni sono pericolose?
Ora che sappiamo che la maggior parte delle estensioni che usiamo, o che abbiamo usato in passato, ha avuto per lunghissimo tempo la possibilità di accedere a tutti i nostri dati di navigazione è lecito chiedersi se questi dati sono stati realmente raccolti dall'estensione e, in caso positivo, come sono stati usati. In altre parole: le estensioni sono pericolose?
Per trovare la risposta a questa domanda non dobbiamo guardare all'estensione, ma a chi la sviluppa: è allo sviluppatore, infatti, che andranno i dati raccolti dall'estensione. Se lo sviluppatore è affidabile, allora nessun dato non effettivamente utile all'estensione verrà trasmesso e quelli trasmessi non verranno ceduti a società terze.
Ma, anche in questo caso, i nostri dati non saranno al sicuro al 100%: i server sui quali lo sviluppatore archivia i nostri dati (siano essi pochi o molti, non cambia nulla nella pratica) potrebbero essere violati dagli hacker. Si tratta dei così detti "data breach", sempre più frequenti negli ultimi anni.
Se lo sviluppatore non è neanche tanto affidabile, invece, allora faremmo meglio a non installare completamente l'estensione: in tal caso possiamo dare per scontato che i nostri dati verranno come minimo rivenduti a società terze che le useranno a scopo pubblicitario.
Estensioni: il problema degli aggiornamenti
Infine, come se quanto detto fino ad ora non bastasse, c'è un altro rischio molto grave ma assolutamente concreto che dobbiamo conoscere: le estensioni, ogni tanto, vengono vendute da uno sviluppatore ad un altro.
Se l'acquirente non è affidabile quanto il venditore, allora possiamo stare certi che prima o poi pubblicherà un aggiornamento automatico dell'estensione che si istallerà da solo su tutti i computer che già hanno quella estensione.
L'estensione aggiornata, molto spesso, è assai meno rispettosa della privacy rispetto a quanto era quella originale.