https://www.cotillon-de-fete.fr/tours-gratuits-acceptant-les-joueurs-belges-casino-en-ligne/
Tuesday, July 14, 2026

Google y Microsoft eliminan ModHeader con 1,6 millones de instalaciones después de que se encontrara un recopilador inactivo

TecnologíaGoogle y Microsoft eliminan ModHeader con 1,6 millones de instalaciones después de que se encontrara un recopilador inactivo

https://www.cotillon-de-fete.fr/
Tabla de contenido

Google y Microsoft se han retirado ModEncabezadouna popular extensión de edición de encabezados con aproximadamente 1,6 millones de instalaciones en Chrome y Edge, después de que los investigadores encontraran un recopilador de historial de navegación oculto integrado en su versión oficial de la tienda.

El coleccionista estaba inactivo. Una lista de permitidos vacía lo mantuvo apagado y no ha surgido ninguna prueba de que alguna vez haya recopilado o enviado un solo dominio de navegación.

El análisis provino de Stripe OLT, una empresa de seguridad del Reino Unido, que verificó el código con la firma de la tienda web de Google y confirmó que el recopilador envió dentro de la extensión genuina, no una falsificación.

Su revisión cubre la versión de Chrome y sus aproximadamente 900.000 usuarios; Los rastreadores de terceros colocan otros 700.000 aproximadamente en Edge. Microsoft retiró la lista de Edge el 3 de julio y Google eliminó la de Chrome una semana después, el 10 de julio.

La versión 7.0.18 (ID de extensión idgpnmonknjnojddfkpgkljpfnnfcklj) todavía edita los encabezados HTTP como se anuncia. El mismo código de fondo minimizado también contiene un segundo sistema. En la primera ejecución, genera una huella digital del dispositivo y carga una clave de cifrado codificada. Mientras navega, toma el dominio de cada página que abre, lo cifra y lo almacena localmente, hasta 1000 dominios distintos.

Una vez al día, un programador agrupa la lista cifrada con su huella digital, la publica en api.stanfordstudies(.)com y borra la copia local. El tiempo de carga se compensa por instalación, por lo que los navegadores que lo ejecutan no generarían todas las balizas a la vez si el recopilador estuviera activado. Desmontajes separados, realizados por HackIndex en la versión 7.0.18 y el investigador Yunus Aydin en la 7.0.17, describen el mismo proceso.

El recopilador se ejecuta solo si su navegador coincide con una entrada en una lista interna de permitidos y esa lista se envía vacía. La verificación falla cada vez, por lo que la canalización se detiene antes de recopilar un único dominio. Completar esa lista es un pequeño cambio, sin nuevos permisos ni clics de su parte, entregado como una actualización de rutina. La clave codificada, la URL del punto final, el programador y la lógica de almacenamiento ya están en la máquina.

No todo estaba dormido. Durante la instalación, actualización y desinstalación, la extensión hizo ping a un segundo dominio, extensions-hub(.)com, con el producto, la versión y el navegador. Y un script que se ejecuta en cada página ya había registrado metadatos de solicitudes reales en el almacenamiento local en texto sin formato, por lo que esa pieza claramente se había estado ejecutando.

Los verificadores automatizados habían calificado a ModHeader como de bajo riesgo, algunos de hasta 95 sobre 100. Cada parte del diseño puede frustrar un tipo diferente de verificación. Los datos están cifrados, por lo que un escáner ve el texto cifrado. La carga está bloqueada, por lo que una zona de pruebas no ve salir nada.

El código malicioso se minimiza a una base de código legítima. Los puntos finales no tenían una reputación maliciosa establecida que señalar. Y una extensión popular y firmada se lee como confiable. La firma de una tienda demuestra de dónde proviene un archivo, no qué hace.

Adónde conducen los dominios

Stripe OLT vinculó los dominios a una infraestructura real y mantenida. Stanfordstudies(.)com no tiene ningún vínculo con Stanford; es un dominio antiguo reutilizado que se encuentra frente a un back-end de OpenSearch, mientras que extensions-hub(.)com está configurado para publicidad.

Los dos puntos finales de API se resolvieron en el mismo servidor de Amazon en el momento del análisis, lo que encaja con un operador sin probarlo. Un puñado de señales débiles apuntan vagamente hacia un operador de habla china: una configuración regional en chino simplificado, un marcador “sal” escrito con el carácter 盐 y un proveedor de correo de origen chino. Los investigadores no nombran ningún grupo, y nosotros tampoco.

Las señales de advertencia llegaron antes. ModHeader generó quejas por insertar anuncios en los resultados de búsqueda en 2023 y, según se informa, empezó a recibir publicidad en ese momento. No se ha confirmado quién se hizo cargo y los investigadores no hacen ninguna afirmación sobre el autor original.

El propio sitio de ModHeader todavía publica un plan publicitario que dice que no recopila datos del usuario, lo cual es difícil de conciliar con un recopilador de historial de navegación incorporado, incluso si está apagado. El desarrollador no ha respondido públicamente a los hallazgos al momento de la publicación.

Hacker News se ha puesto en contacto con ModHeader para hacer comentarios y hacer más preguntas a Stripe OLT, y actualizará esta historia con cualquier respuesta.

En 2021, Brian Krebs describió cómo las extensiones populares se compran silenciosamente y se convierten en canales de datos. Esto se parece a ese patrón, ahora con cifrado y una puerta que impide que los escáneres vean la carga. Sólo este año, se descubrió que una serie de extensiones de Chrome recopilaban datos bajo una etiqueta de “análisis anónimo”, y un conjunto separado se hizo pasar por Workday y NetSuite para robar cookies de sesión. Los editores de encabezados y los administradores de cookies necesitan un amplio acceso para trabajar y, cuando se rompe la confianza, el radio de explosión es amplio.

que hacer

Si tienes ModHeader, elimínalo de Chrome y Edge; Es posible que su navegador ya lo haya desactivado. La desinstalación borra los datos almacenados, por lo que lo que hay que verificar es que la sincronización del perfil o una política de extensión administrada no los recupere.

Si pegó secretos en él, claves API, tokens de portador y cookies de sesión, rótelos, ya que los investigadores descubrieron que su función de historial de encabezados almacena encabezados HTTP completos en el disco.

Para los defensores, bloquee y registre stanfordstudies(.)com y extensions-hub(.)com en DNS y proxy, y busque registros para el ID de extensión y cualquier POST en api.stanfordstudies(.)com/app/log. Stripe OLT publicó consultas de búsqueda KQL listas para ejecutar para Defender y Sentinel.

Los derribos se encargan de esta extensión. El diseño es la parte que debería preocupar a la gente: un recopilador completo, verificado en la tienda, se encontraba dentro de una herramienta popular y confiable, aparentemente diseñada para activarse una vez que una actualización ordinaria llenaba la lista vacía. Los escáneres automatizados lo calificaron como de bajo riesgo, y la próxima herramienta construida de esta manera puede parecer igual de limpia.

La lección práctica es limitada: la revisión de la extensión debe estar atenta a rutas de código inactivo que las pruebas nunca activan, nuevos puntos finales de llamada a casa y una capacidad que una actualización de rutina puede agregar después de un cambio de manos.

Artículos más populares