Extensões do Chrome: veja quais tipos evitar para proteger dados sensíveis

A popularidade das extensões do Chrome transformou esses complementos em ferramentas quase indispensáveis para quem deseja customizar o navegador, mas estudos recentes apontam que o uso indiscriminado pode expor senhas, informações bancárias e documentos sigilosos. Pesquisadores da Universidade de Wisconsin-Madison identificaram falhas graves, campanhas de malware têm explorado esses pontos fracos desde 2024 e alertas emitidos pelo Google em 2025 reforçam a necessidade de cautela antes de clicar em “Adicionar ao Chrome”.

Como as extensões do Chrome se tornaram vetor crítico de ataque

O primeiro fator que explica a vulnerabilidade é estrutural. O Chrome permite que extensões solicitem permissões para ler, modificar ou gravar dados presentes em qualquer página visitada. Essa flexibilidade é útil para funcionalidades legítimas, mas abre brechas quando os desenvolvedores pedem acesso irrestrito ao código-fonte dos sites. Especialistas detectaram 190 extensões com acesso direto a campos de senha, algumas armazenando credenciais em texto simples nos arquivos HTML. O resultado é uma porta aberta para interceptar logins de e-mail, plataformas de compra e sistemas corporativos.

Outro ponto é a facilidade de publicação na Chrome Web Store. Embora o Google aplique verificações automáticas e revisões manuais, campanhas de 2025 demonstraram que extensões maliciosas conseguem burlar esses filtros. Em janeiro, 33 complementos infectados chegaram a comprometer 2,6 milhões de dispositivos. Dois meses depois, a empresa removeu 16 extensões adicionais por roubo de dados e fraude financeira, evidenciando que a triagem oficial nem sempre identifica ameaças de imediato.

Bloqueadores, aceleradores e outros rótulos: iscas comuns em extensões do Chrome

Os cibercriminosos costumam empacotar o código malicioso em categorias de software que atraem grande público. Entre as iscas mais frequentes estão:

Aceleradores de vídeo e streaming: prometem reprodução mais rápida ou melhoria de imagem. Para cumprir (ou simular) a função, pedem leitura de todo conteúdo exibido, incluindo páginas de internet banking.

Bloqueadores de anúncios “turbinados”: oferecem ambiente livre de publicidade, mas injetam JavaScript que redireciona o usuário a sites de phishing, realiza malvertising e coleta cookies de sessão. Parte das 16 extensões derrubadas em março de 2025 usava essa tática.

Ferramentas de captura de tela ou gravação: necessitam permissão para copiar a tela inteira; algumas também ativam câmera e microfone. Dessa forma, conseguem registrar formulários com números de cartão, conversas em Slack ou documentos corporativos.

Automação para WhatsApp Web: extensões vendidas como solução de disparo em massa ou backup de chats foram apontadas, em outubro de 2025, como malware distribuído em 131 variantes. Entre as funções ocultas estavam leitura de mensagens privadas, coleta de contatos e injeção de código para contornar defesas do serviço.

Casos práticos trazem dimensão do prejuízo potencial

Um incidente específico ajuda a contextualizar o risco. Descoberta em janeiro de 2024, a extensão ParaSiteSnatcher tinha como foco usuários da América Latina, inclusive brasileiros. Após instalada, ela monitorava transações PIX, boletos e compras com cartão de crédito, repassando dados diretamente a servidores controlados pelos invasores. O caso mostrou que até operações financeiras locais viram alvo quando o código malicioso opera de dentro do navegador.

Já a campanha de janeiro de 2025 ilustra o alcance global do problema. As 33 extensões comprometidas, espalhadas por diferentes categorias, acumularam 2,6 milhões de instalações antes de serem bloqueadas. Mesmo quem atualiza o Chrome com frequência ficou suscetível, pois a ameaça veio por meio de complementos formalmente disponíveis na loja oficial.

Perfis profissionais em maior risco com extensões do Chrome

Embora qualquer internauta possa ser impactado, alguns grupos sentem consequências mais graves:

Jornalistas e comunicadores: trabalham com fontes confidenciais via e-mail ou WhatsApp Web. Uma extensão que capture telas ou monitore mensagens pode comprometer pautas ainda não publicadas e revelar identidades protegidas.

Compradores online: plataformas de e-commerce exigem digitar cartão de crédito, endereço e CPF. Extensões de bloqueio de anúncios ou de cupons obscuros conseguem interceptar esses formulários e replicar os dados para fraudes.

Profissionais financeiros: acesso diário a portais bancários, ERPs e sistemas de pagamento apresenta cenário atrativo para malware. Permissões extensas sobre páginas HTTPS tornam viável a captura de senhas corporativas e chaves de autenticação.

Permissões excessivas: o componente técnico mais explorado

A lógica de privilégio mínimo recomenda conceder apenas as autorizações estritamente necessárias. Entretanto, extensões maliciosas solicitam acesso a “Todos os sites” para não limitar sua ação a domínios específicos. Esse modelo permite que:

• Leiam o DOM das páginas e localizem campos como <input type="password">;
• Insiram scripts externos capazes de modificar conteúdos em tempo real;
• Rastrear cookies, tokens de sessão e cabeçalhos de autenticação;
• Redirecionar URLs legítimas para clones de phishing, sem alterar visivelmente a barra de endereços.

O estudo da Universidade de Wisconsin-Madison confirma esse padrão: 190 extensões inspecionadas tinham rotinas voltadas a senhas. Muitas deixavam o texto da senha gravado em memória ou em arquivos temporários, facilitando exfiltração por canal de comando e controle.

Recomendações essenciais antes de instalar extensões do Chrome

Boa parte das infecções relatadas poderia ser evitada com verificação manual de alguns pontos:

Avaliações consistentes: extensões consolidadas reúnem grande volume de comentários autênticos. Ausência de feedback ou elogios genéricos em excesso sinalizam possível fraude.

Número de usuários: crescimento repentino sem divulgação conhecida pode indicar manipulação. Complementos com poucos instaladores durante longos períodos também merecem suspeita.

Permissões solicitadas: um bloqueador de anúncios não precisa “Ler e alterar dados em todos os sites” nem “Acessar dados de downloads”. Se a descrição não justificar o nível de acesso, decline.

Frequência de atualização: software abandonado carece de correções de segurança. Data de última revisão muito distante sugere falta de suporte ativo.

Identidade do desenvolvedor: empresas reais mantêm site, perfis sociais e política de privacidade clara. Extensões assinadas apenas por e-mails genéricos reduzem a confiança.

Próximos passos na vigilância de extensões do Chrome

O histórico recente mostra remoções sucessivas de complementos suspeitos: 33 em janeiro de 2025, 16 em março, 131 variantes ligadas ao WhatsApp Web em outubro do mesmo ano. A tendência indica que novos pacotes maliciosos podem surgir em 2026, aproveitando a contínua busca dos usuários por recursos adicionais. O acompanhamento das atualizações da Chrome Web Store e dos relatórios de segurança corporativos será decisivo para mitigar futuras ondas de ataque.