Per chi fa un uso massiccio di Internet, e non si accontenta delle funzionalità standard del proprio browser, le estensioni (o add-on, nel caso di Firefox) possono essere una gran comodità. Ci sono estensioni e add-on un po' per tutto: per fare screenshot del solo contenuto della pagina, per prendere appunti velocemente selezionando parti di una pagina Web, per memorizzare le proprie password di accesso ai siti, per abilitare funzioni avanzate di YouTube, per fare lo screen recording, per tradurre testi o per ascoltarli invece di leggerli. La scelta è enorme e con le giuste estensioni la tua navigazione può veramente essere più produttiva e gradevole. Ma gli add-on hanno anche un lato oscuro o, quanto meno, possono averlo. E questo lato oscuro, ovviamente visto che siamo sul Web e parliamo di software quasi sempre gratuiti o freemium, ha a che fare con la tua privacy. Perché sì, c'è un grosso problema di privacy con la maggior parte delle estensioni disponibili per i principali browser.
Le estensioni chiedono troppi permessi
Quando installi un'estensione di solito ti viene chiesto di concederle una lista di permessi, senza i quali essa non funziona. Questo può anche essere giusto e comprensibile, ma fino ad un certo punto, perché alcuni add-on chiedono l'accesso a praticamente tutti i dati della tua navigazione. Questo vuol dire che possono tracciare il tuo comportamento, ma anche leggere ciò che scrivi nei form che compili (password comprese), registrare il numero della tua carta di credito, inviarti pubblicità non richiesta. Sia chiaro: non tutte le estensioni fanno queste cose, ma quasi tutte si assicurano il permesso di farlo. E qui sorgono alcuni problemi.
Le estensioni possono essere vendute
Il primo problema nasce quando lo sviluppatore di un'estensione di successo la vende ad una società terza. Non sono rari i casi di aziende che vanno proprio a caccia di add-on con una larga base di installazioni e il motivo è semplice: se comprano l'estensione, acquistano anche i dati raccolti e l'accesso a tutti i permessi. Ma l'utente non lo sa e, da un giorno all'altro, può avere dei problemi perché l'azienda che ha comprato l'estensione inizia a comportarsi in maniera più intrusiva rispetto allo sviluppatore che l'ha creata e poi venduta. È successo nel 2017 con l'estensione Particle for YouTube, che è stata comprata da una società che poi l'ha usata per inviare massicce dosi di pubblicità agli utenti.
Le estensioni possono trasformarsi in malware
Il secondo problema nasce se l'estensione viene presa di mira dagli hacker. Se un cybercriminale riesce a "bucare" il codice di un'estensione installata da milioni di utenti, nel giro di poco tempo può infettarli tutti. Questo perché le estensioni solitamente si aggiornano da sole, in background. A volte è richiesto l'intervento (e la conferma all'aggiornamento) da parte dell'utente solo se cambiano i permessi richiesti. Ma se gli hacker bucano un'estensione che ha già i permessi di cui hanno bisogno per diffondere il virus, allora gli basta aggiornarla ed essa verrà scaricata e installata da tutti gli utenti. Che, in un batter d'occhio, verranno infettati. Non è una semplice ipotesi: è già successo. Ancora nel 2017 l'estensione Web Developer for Chrome, che all'epoca contava un milione di installazioni nel mondo, è stata modificata da un gruppo di hacker che hanno pubblicato un aggiornamento con la versione infetta.
Come difendere la privacy se usiamo le estensioni
La regola numero uno per usare le estensioni dei browser senza mettere troppo a rischio la nostra privacy è quella di usarne il meno possibile. Ti serve veramente? Installala. Non ti serve veramente? Non installarla. Sei in dubbio? Non installarla. La seconda regola è quella di evitare di installare add-on provenienti da sviluppatori poco conosciuti e con una reputazione non sicura. La terza regola è conseguente alla seconda: se ci sono due estensioni simili, una realizzata da una società nota e l'altra da uno sviluppatore poco conosciuto, scegli quella della società famosa. Lo sviluppatore potrebbe vendere l'estensione, la società lo farà difficilmente. Poi fai attenzione ai permessi che richiede l'add-on: se non capisci perché ti chiede una determinata autorizzazione, forse è il caso di non installarlo.
5 luglio 2019