PSA: Cuidado com as extensões de navegador

joker_josue

legendary

Activity: 1638

Merit: 4508

**In BTC since 2013**

Quote from: alegotardo on August 24, 2022, 09:18:37 PM

Brincadeiras à parte, algo que me falaram uma vez... quanto mais comodidade uma tecnologia te proporciona, geralmente ela traz mais problemas com a segurança.
Usar outro navegador, outro perfil, outro usuário no windows podem trazer problemas de comodidade para abrir aquele boleto do email, enviar pro banco, copiar-colar a linha digitável ou o endereço de uma wallet, enfim.... porém te tratará muito mais segurança.
Então, é preciso ponderar as duas coisas e tentar encontrar um meio termo, e isso vale principalmente para os nossos smartphones também que fazem cada vez mais coisas e acabam centralizando tudo oque temos.

No meio disso tudo, existe um elemento fundamental, que se a pessoa não o fizer, poem em causa todo esses sistema: onde a pessoa clica online.

Se a pessoa sai clicando em tudo o que é link ou descarrega ficheiros de fontes duvidosas, estraga tudo.
E não é por um email vir - supostamente - de alguém conhecido, é sinal de ser algo seguro.

Por isso o importante é mesmo a pessoa ter um comportamento responsável a usar o PC e a Internet.

Nunca esquecer que um vírus, malware e afins, só se instala no PC com alguma intervenção do utilizador.

alegotardo

legendary

Activity: 2352

Merit: 1121

☢️ alegotardo™️

Quote from: bitmover on August 23, 2022, 12:08:41 PM

Quote from: alegotardo on August 21, 2022, 07:21:24 PM

Dica de ouro para todo mundo que mexe com criptos, bancos ou qualquer outra coisa que envolva "dinheiro" online:
-Use e abuse dos perfis que os navegadores disponibilizam, aí tu nem precisa usar outro navegador e largar o seu favorito

Expandindo esse comentário. Existe a opção de criar usuários no Windows, o que é ainda melhor.

É bom usar um usuário do Windows que não seja administrador, para você usar no dia a dia e usar o dinheiros. Esse usuário do dia a dia não tem poderes para instalar programas e tal, sempre será necessário botar a senha do administrador para instalar.

Isso aumenta a segurança, pois é menos provável que você instale um software malicioso sem querer.

Melhor ainda....... é você ter dois computadores, um só pra diversão e outro só pra criptos e bancos, e mantenha eles em redes isoladas, se possível em quartos diferentes também Tongue

Brincadeiras à parte, algo que me falaram uma vez... quanto mais comodidade uma tecnologia te proporciona, geralmente ela traz mais problemas com a segurança.
Usar outro navegador, outro perfil, outro usuário no windows podem trazer problemas de comodidade para abrir aquele boleto do email, enviar pro banco, copiar-colar a linha digitável ou o endereço de uma wallet, enfim.... porém te tratará muito mais segurança.
Então, é preciso ponderar as duas coisas e tentar encontrar um meio termo, e isso vale principalmente para os nossos smartphones também que fazem cada vez mais coisas e acabam centralizando tudo oque temos.

bitmover

legendary

Activity: 2212

Merit: 5622

Non-custodial BTC Wallet

Quote from: alegotardo on August 21, 2022, 07:21:24 PM

Dica de ouro para todo mundo que mexe com criptos, bancos ou qualquer outra coisa que envolva "dinheiro" online:
-Use e abuse dos perfis que os navegadores disponibilizam, aí tu nem precisa usar outro navegador e largar o seu favorito

Expandindo esse comentário. Existe a opção de criar usuários no Windows, o que é ainda melhor.

É bom usar um usuário do Windows que não seja administrador, para você usar no dia a dia e usar o dinheiros. Esse usuário do dia a dia não tem poderes para instalar programas e tal, sempre será necessário botar a senha do administrador para instalar.

Isso aumenta a segurança, pois é menos provável que você instale um software malicioso sem querer.

joker_josue

legendary

Activity: 1638

Merit: 4508

**In BTC since 2013**

Informações/dicas bastante pertinentes para todos estarmos atentos.

Alem do que já foi mencionado, não esquecer de ter sempre o browser, o SO e outro software de relevância atualizado.

E pense bem se precisa mesmo da extensão. Lembre-se que muito do que as extensões fazem, o browser já faz nativamente ou então consegue fazer sozinho sem precisar desses auxiliares.

Se usar extensões, use de origem mais confiáveis possíveis. E não é o facto de uma extensão ser open source, não significa que é confiável não tem problemas.

A segurança do seu PC começa com a forma como o usa.

rdluffy

legendary

Activity: 2212

Merit: 1303

Quote from: TryNinja on August 23, 2022, 01:41:15 AM

...
Você pode acessar esses sites desde que a extensão não tenha permissão de ler e alterar os dados desses domínios (seja eles especificamente, ou com a permissão de alterar TODOS os sites). Isso, claro, assumindo que não tem nenhum 0day exploit que burle essa limitação. Quanto a informação no sistema, mesma coisa que falei acima.

Obrigado pela explicação Ninja, deu pra entender melhor
Só a título de curiosidade, semana passada eu vi no feed do meu celular essa notícia de um 0day exploit: https://www.techtarget.com/searchsecurity/news/252523951/Google-patches-yet-another-Chrome-zero-day-vulnerability

Foi uma atualização de segurança que corrigiu entre outros, um desses exploits.
Sempre importante manter o navegador atualizado.

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: rdluffy on August 22, 2022, 07:13:07 PM

Mas por exemplo, uma extensão maliciosa que eu possa utilizar no navegador, não há nenhuma possibilidade remota de que possa afetar o sistema ou a extensão só fica no escopo do navegador mesmo?

Só afeta o seu sistema caso haja um 0day exploit no navegador, o que não acontece com tanta frequência.

Quote from: rdluffy on August 22, 2022, 07:13:07 PM

Um exemplo bem "simples", enquanto uso o navegador com essa extensão maliciosa, eu posso não acessar nenhum site de banco, ou e-mail etc, mas pode ser que eu abra alguma informação sigilosa no sistema, isso é 100% garantido de não conseguir acessar essa informação?

Você pode acessar esses sites desde que a extensão não tenha permissão de ler e alterar os dados desses domínios (seja eles especificamente, ou com a permissão de alterar TODOS os sites). Isso, claro, assumindo que não tem nenhum 0day exploit que burle essa limitação. Quanto a informação no sistema, mesma coisa que falei acima.

rdluffy

legendary

Activity: 2212

Merit: 1303

Quote from: alegotardo on August 21, 2022, 07:21:24 PM

Dica de ouro para todo mundo que mexe com criptos, bancos ou qualquer outra coisa que envolva "dinheiro" online:
-Use e abuse dos perfis que os navegadores disponibilizam, aí tu nem precisa usar outro navegador e largar o seu favorito

Google Chrome e Firefox possuem isso a muito tempo já, você pode manter um ambiente para navegar a vontade na internet e instalar "oque bem quiser" e outro mais controlado e totalmente isolado do primeiro para acessar sites mais críticos.

É uma boa dica, eu não tenho costume de utilizar mais de um perfil para o navegador.
Mas por exemplo, uma extensão maliciosa que eu possa utilizar no navegador, não há nenhuma possibilidade remota de que possa afetar o sistema ou a extensão só fica no escopo do navegador mesmo?
Um exemplo bem "simples", enquanto uso o navegador com essa extensão maliciosa, eu posso não acessar nenhum site de banco, ou e-mail etc, mas pode ser que eu abra alguma informação sigilosa no sistema, isso é 100% garantido de não conseguir acessar essa informação?

gagux123

hero member

Activity: 1554

Merit: 806

The Alliance Of Bitcointalk Translators - ENG>POR

Quote from: TryNinja on August 21, 2022, 07:25:46 PM

Ai é que tá... Eu já postei apps na Play Store e App Store e a diferença na questão da segurança entre Apple e Google é simplesmente gigantesca.

Na App Store, você precisa detalhar em texto cada função e tela do seu app, além de disponibilizar credenciais para que alguém da equipe da Apple acesse o seu app e verifique suas funções. É bem comum que eles desaprovem o seu update por conta de algum erro cometido.

Já na Play Store, eles estão pouco se ferrando. Eles apenas dão uma leve verificada no seu app quando você realiza o primeiro upload e depois as atualizações são praticamente instantâneas.

Outro problema é que há formas de fazer um "live update", ou seja, atualizar o código do app e funções sem precisar atualizar o código na loja do ecossistema. Eu mesmo fazia isso para evitar passar pela App Store para cada pequeno update.

Quote from: alegotardo on August 21, 2022, 07:21:24 PM

Também não sei te dizer ao certo, mas se tiver creio que não eva ser nada muito rigoroso.
Já vi que existe um esquema de reputação, mas que também nãodeve ajudar em nada, talvéz só piorar dando uma falsa impressão sobre algo que seja malicioso e talvéz tenha comprado uma boa avaliação.

Caraca... que "loucura"... Eu imaginava que para "upar" um app nessas duas plataformas fossem algo tranquilo (talvez isso não se encaixaria p/ o Android)

Ninja, basicamente o que tu falou sobre desenvolver um App para iOS, tu tem que elaborar tipo de um ""memorial descritivo com relação ao App"" Isso que eu chamo de segurança hahahaha

Alguem sabe me informar qual é a % de aceitação para um App ser listado dentro do Google Pay e da App Store (iOS )? Será que essa discrepancia pode ser muuuito grande!!?

bitmover

legendary

Activity: 2212

Merit: 5622

Non-custodial BTC Wallet

Pessoalmente, eu não fico inatalando extensões no navegador. Não só por segurança mas pra não ficar entupindo o navegador de lixo inútil.

Mesma coisa com app. Acho horrível qd uma coisa q podia ser um site web vira um app. Evito ao máximo baixar. Não gosto nem de baixar pdf de cardápio qrcode em restaurante rsrs

Uso extensões apenas as mais básicas de segurança. Ublock, https everywhere..

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: gagux123 on August 21, 2022, 05:12:25 PM

Mas para ""upar"" uma extensão, ela não precisa passar por algum tipo de avaliação antes dela estar disponivel para download?
Talvez algo similar com o que acontece na App Store?

Ai é que tá... Eu já postei apps na Play Store e App Store e a diferença na questão da segurança entre Apple e Google é simplesmente gigantesca.

Na App Store, você precisa detalhar em texto cada função e tela do seu app, além de disponibilizar credenciais para que alguém da equipe da Apple acesse o seu app e verifique suas funções. É bem comum que eles desaprovem o seu update por conta de algum erro cometido.

Já na Play Store, eles estão pouco se ferrando. Eles apenas dão uma leve verificada no seu app quando você realiza o primeiro upload e depois as atualizações são praticamente instantâneas.

Outro problema é que há formas de fazer um "live update", ou seja, atualizar o código do app e funções sem precisar atualizar o código na loja do ecossistema. Eu mesmo fazia isso para evitar passar pela App Store para cada pequeno update.

alegotardo

legendary

Activity: 2352

Merit: 1121

☢️ alegotardo™️

Quote from: rdluffy on August 21, 2022, 11:15:28 AM

Eu sou um dos que tomam o maior cuidado com qualquer extensão.
Aqui eu só uso a Metamask e a Ronin, mais nada.

Sempre vejo uns extensões legais que o povo indica, como de gramática para te ajudar a escrever melhor e corrigir alguns erros de inglês, extensão para youtube, para cortar propagandas etc, mas não tenho coragem, eu sempre acho que vai dar algo errado e uma extensão seria um elo fraco.

É bom sempre avisar

Dica de ouro para todo mundo que mexe com criptos, bancos ou qualquer outra coisa que envolva "dinheiro" online:
-Use e abuse dos perfis que os navegadores disponibilizam, aí tu nem precisa usar outro navegador e largar o seu favorito

Google Chrome e Firefox possuem isso a muito tempo já, você pode manter um ambiente para navegar a vontade na internet e instalar "oque bem quiser" e outro mais controlado e totalmente isolado do primeiro para acessar sites mais críticos.

Quote from: gagux123 on August 21, 2022, 05:12:25 PM

Desculpa pela ignorancia da minha pergunta...
Mas para ""upar"" uma extensão, ela não precisa passar por algum tipo de avaliação antes dela estar disponivel para download?
Talvez algo similar com o que acontece na App Store?

Também não sei te dizer ao certo, mas se tiver creio que não eva ser nada muito rigoroso.
Já vi que existe um esquema de reputação, mas que também nãodeve ajudar em nada, talvéz só piorar dando uma falsa impressão sobre algo que seja malicioso e talvéz tenha comprado uma boa avaliação.

gagux123

hero member

Activity: 1554

Merit: 806

The Alliance Of Bitcointalk Translators - ENG>POR

Obrigado por ter compartilhado isso conosco @TryNinja
Hoje em dia todo cuidado é pouco...

Desculpa pela ignorancia da minha pergunta...
Mas para ""upar"" uma extensão, ela não precisa passar por algum tipo de avaliação antes dela estar disponivel para download?
Talvez algo similar com o que acontece na App Store?

rdluffy

legendary

Activity: 2212

Merit: 1303

Eu sou um dos que tomam o maior cuidado com qualquer extensão.
Aqui eu só uso a Metamask e a Ronin, mais nada.

Sempre vejo uns extensões legais que o povo indica, como de gramática para te ajudar a escrever melhor e corrigir alguns erros de inglês, extensão para youtube, para cortar propagandas etc, mas não tenho coragem, eu sempre acho que vai dar algo errado e uma extensão seria um elo fraco.

É bom sempre avisar

TryNinja

legendary

Activity: 2758

Merit: 6830

Vi esse tópico no board gringo e achei interessante repostar ele aqui:

Quote from: zasad@ on August 21, 2022, 05:47:59 AM

https://twitter.com/wallet_guard/status/1561046182645751810?
"There is a new scam going around that leverages a chrome extension to intercept and modify your exchange deposit address & withdrawal requests. This means that even if you double check your addresses, you can still become a victim 1/🧵"

https://medium.com/@walletguardofficial/web3-extension-malware-google-sheets-ac6d9fb6658d
Web3 Extension Malware — ‘Google Sheets’

Traduzindo, algumas extensões foram detectadas injetando scripts que alteram o endereço de deposito de exchanges famosas.

O maior perigo, na minha opinião, é que até extensões legítimas podem ser vendidas e depois infectadas com um desses scripts.

Para evitar isso:

1. Não saia instalando milhares de extensões por ai. Mais extensões = mais possíveis vetores de ataque.
2. Verifique a permissão solicitada de cada extensão. Uma extensão que melhora o Youtube, por exemplo, pode solicitar permissão apenas para alterar páginas do domínio youtube.com, enquanto outras maliciosas vão pedir permissão para ler e alterar todos os sites. Leia, e não saia aceitando tudo por ai.
3. Quer ser extra paranoico? Use um navegador limpo e a parte para acessar sites especiais (bancos, exchanges, etc...).

Topic: PSA: Cuidado com as extensões de navegador (Read 133 times)