Um conjunto de extensões disponíveis no navegador Google Chrome está a levantar preocupações entre especialistas em cibersegurança, após a descoberta de um esquema que permite o roubo de dados pessoais de utilizadores.
De acordo com uma investigação conduzida pela empresa de segurança Socket e divulgada pelo site The Hacker News, foram identificadas 108 extensões maliciosas que utilizam técnicas de “prompt injection” para contornar mecanismos de proteção e aceder a informações sensíveis.
Estas extensões, que já somam cerca de 20 mil downloads na loja oficial do Chrome, apresentam-se como ferramentas úteis — incluindo integrações com Telegram, YouTube e TikTok, tradutores automáticos ou até jogos —, mas escondem funcionalidades perigosas.
Segundo o mesmo relatório, citado pelo The Hacker News, algumas destas extensões conseguem aceder a dados de contas Google através do sistema OAuth2, enquanto outras possuem “portas traseiras” que permitem executar ações sem o conhecimento do utilizador, como abrir páginas suspeitas automaticamente.
Particularmente preocupante é o caso de uma extensão associada ao Telegram, que, conforme explica a Socket, consegue extrair o token de autenticação da conta e enviá-lo para servidores externos de forma contínua, permitindo potencialmente o acesso indevido às contas das vítimas.
Além disso, há extensões que manipulam plataformas como YouTube e TikTok para inserir publicidade, injetam código em páginas visitadas ou interferem com pedidos de tradução, aumentando o risco de exposição de dados.
A empresa responsável pelo estudo recomenda que os utilizadores verifiquem cuidadosamente as extensões instaladas no navegador e eliminem de imediato qualquer aplicação suspeita.
Como funcionam estes ataques?
Os ataques conhecidos como “prompt injection” exploram fragilidades em sistemas baseados em inteligência artificial, introduzindo instruções maliciosas disfarçadas de comandos legítimos. Conforme explica a IBM, esta técnica permite contornar limitações de segurança e alterar o comportamento dos sistemas, colocando em causa a confidencialidade e a integridade dos dados.
