Google promuove (per mesi) un’estensione Chrome che nasconde codice malevolo
Un’estensione tra le più usate su Chrome è stata rimossa per codice malevolo. Il caso mette in discussione i controlli e mostra come anche strumenti comuni possano cambiare comportamento nel tempo.
Per mesi è rimasta tra le estensioni consigliate di Chrome Web Store, utilizzata da oltre un milione di persone. Poi, all’improvviso, Google l’ha disattivata segnalando la presenza di malware. Il caso di “Save Image as Type” solleva interrogativi concreti sui controlli applicati alle estensioni e sulla capacità delle piattaforme di intervenire con tempestività.
L’add-on offriva una funzione semplice, ma molto richiesta: consentiva di salvare immagini in formati come JPG o PNG anche quando i siti le rendevano disponibili solo in WebP, il formato di compressione pensato per il web. Una comodità che ne aveva favorito la diffusione, fino a renderla una delle soluzioni più visibili nello store ufficiale di Chrome.
- Un’estensione popolare, poi il blocco improvviso
- Come funzionava il codice nascosto nell’estensione Chrome?
- Il cambio di proprietà e i segnali ignorati
Un’estensione popolare, poi il blocco improvviso
Il blocco è arrivato direttamente dal browser. Gli utenti si sono trovati davanti a un avviso che segnalava la presenza di codice malevolo e invitava alla rimozione. Poco dopo, la pagina dell’estensione è stata rimossa da Chrome Web Store.
Il problema non sembra riguardare la sottrazione di dati sensibili, ma un comportamento in grado di interferire con la navigazione. Analisi indipendenti e segnalazioni degli utenti hanno evidenziato modifiche ai link di affiliazione su siti di e-commerce, in particolare su piattaforme come Amazon e Best Buy. In pratica, l’estensione sarebbe stata in grado di sostituire i codici affiliati con altri propri, incassando commissioni sugli acquisti effettuati dagli utenti.
Come funzionava il codice nascosto nell’estensione Chrome?
Le indagini tecniche hanno individuato un meccanismo basato sull’iniezione di elementi invisibili nelle pagine visitate. Attraverso iframe nascosti, l’estensione caricava URL affiliati senza che l’utente se ne accorgesse, inserendo cookie di tracciamento nel browser.
Questo sistema, noto come cookie stuffing, consente di attribuire vendite a chi non ha realmente generato il traffico. In alcuni casi sono stati individuati centinaia di link affiliati pronti all’uso, distribuiti su numerosi siti commerciali.
Il comportamento era progettato per risultare poco evidente. Alcuni utenti avevano segnalato anomalie, come reindirizzamenti inattesi durante la navigazione, ma il problema non si manifestava in modo costante. In modalità incognito, ad esempio, l’estensione spesso non interveniva, rendendo più difficile risalire all’origine del problema.
Il cambio di proprietà e i segnali ignorati
Le versioni precedenti risultavano prive di codice sospetto, mentre aggiornamenti successivi avrebbero introdotto le funzionalità controverse. Secondo diverse ricostruzioni, il passaggio di proprietà avvenuto tra il 2024 e il 2025 potrebbe aver segnato l’inizio di questa trasformazione.
Non si tratta di un caso isolato. Ricerche pubbliche avevano già individuato una rete di estensioni con comportamenti simili, documentata mesi prima della rimozione. Anche Microsoft aveva eliminato una versione analoga dallo store di Edge con largo anticipo.
Nonostante questi segnali, l’estensione è rimasta disponibile su Chrome fino al 2026, mantenendo visibilità e diffusione.
Il punto più critico riguarda proprio il ruolo della piattaforma. “Save Image as Type” non era un’estensione marginale, ma una delle più utilizzate nel suo ambito. La presenza nel Chrome Web Store e la promozione interna ne avevano rafforzato la credibilità.
Il caso evidenzia un limite strutturale. Anche strumenti apparentemente innocui possono evolversi nel tempo e assumere comportamenti non trasparenti, senza che gli utenti ne siano consapevoli.
