Extensões no Chrome – Complementos que se passam por assistentes de inteligência artificial no Google Chrome têm sido utilizados para coletar dados sensíveis de usuários, incluindo credenciais de login, conteúdos de e-mails e histórico de navegação. Ao todo, a campanha já ultrapassa 300 mil instalações, segundo pesquisadores de segurança.
A operação envolve pelo menos 30 extensões maliciosas publicadas na Chrome Web Store. Muitas delas se apresentam como assistentes de IA, tradutores automáticos ou barras laterais inspiradas em serviços conhecidos, o que ajuda a enganar usuários menos atentos.
LEIA: Chefe de segurança da Anthropic pede demissão e diz que o mundo está em perigo
A investigação foi conduzida por especialistas da LayerX, que identificaram que todos os complementos fazem parte de uma mesma campanha, batizada de AiFrame.
Mesmo após a retirada de algumas das extensões mais populares, outras continuam disponíveis e seguem acumulando dezenas de milhares de usuários ativos.
Como funcionam as extensões disfarçadas de IA?
De acordo com a LayerX, todas as extensões analisadas apresentam estrutura interna praticamente idêntica, solicitam permissões semelhantes e se comunicam com um mesmo backend, hospedado em um domínio externo comum. Apesar das promessas de funcionalidades avançadas, nenhuma delas executa processamento real de inteligência artificial no dispositivo.
Na prática, os complementos exibem um iframe em tela cheia que simula o serviço anunciado. Esse artifício permite que os operadores modifiquem o comportamento da extensão remotamente, sem a necessidade de enviar atualizações para nova revisão na loja do Google.
Enquanto aparentam funcionar normalmente, as extensões passam a coletar o conteúdo das páginas acessadas, incluindo telas de autenticação. Para isso, utilizam bibliotecas amplamente conhecidas de leitura de texto em páginas web. Em parte dos casos, o alvo é ainda mais específico: cerca de metade das extensões identificadas contém scripts voltados exclusivamente para o Gmail.
Esses scripts são acionados logo no carregamento do email e conseguem ler o conteúdo visível das mensagens, incluindo conversas completas e rascunhos ainda não enviados. Sempre que o usuário ativa alguma função supostamente ligada à IA, essas informações acabam sendo transmitidas a servidores externos controlados pelos responsáveis pela campanha.
Extensões identificadas
O site especializado Bleeping Computer listou algumas das extensões envolvidas, junto com seus identificadores na loja do Chrome:
1. AI Sidebar (gghdfkafnhfpaooiolhncejnlgglhkhe)
2. AI Assistant (nlhpidbjmmffhoogcennoiopekbiglbp)
3. ChatGPT Translate (acaeafediijmccnjlokgcdiojiljfpbe)
4. AI GPT (kblengdlefjpjkekanpoidgoghdngdgl)
5. ChatGPT (llojfncgbabajmdglnkbhmiebiinohek)
6. AI Sidebar (djhjckkfgancelbmgcamjimgphaphjdl)
7. Google Gemini (fdlagfnfaheppaigholhoojabfaapnhb)
Quais dados podem ser capturados?
A coleta de informações não se limita a emails. Dependendo das permissões concedidas durante a instalação, algumas extensões também ativam recursos de reconhecimento de voz, gerando transcrições que são enviadas aos mesmos servidores remotos.
A LayerX resume o risco de forma direta: “o texto das mensagens de email e dados contextuais relacionados podem ser enviados para fora do dispositivo, fora do limite de segurança do Gmail, para servidores remotos”.
Especialistas recomendam que usuários revisem regularmente as extensões instaladas, removam qualquer complemento suspeito e redefinam senhas caso identifiquem indícios de comprometimento. O Bleeping Computer procurou o Google, mas, até a publicação desta matéria, a empresa não havia se manifestado.
(Com informações de Tecno Blog)
(Foto: Reprodução/Freepikpixel-shot.com)
