/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/02/estensioni-spyware-chrome.jpg "Chrome: 287 estensioni spyware rubano la cronologia di 37 milioni di utenti")
Un’analisi pubblicata dal gruppo Q Continuum documenta una campagna di raccolta sistematica della cronologia di navigazione tramite estensioni pubblicate sul Chrome Web Store: 287 estensioni “spyware” totalizzano circa 37,4 milioni di installazioni, una quota che gli autori della ricerca stimano intorno all’1% della base utenti globale di Chrome. Il dato colpisce perché non riguarda un singolo malware, ma un modello industriale che usa estensioni apparentemente innocue per trasformare la navigazione in un flusso dati monetizzabile.
Per capire perché il tema sia ricorrente, serve un breve salto indietro. Tra il 2016 e il 2018 altre indagini incentrate sul Chrome Web Store avevano già evidenziato come estensioni popolari potessero tracciare gli URL visitati. Il caso “Stylish” è diventato un riferimento: mostrò come un’estensione potesse facilmente inviare le pagine visitate a server remoti senza che l’utente ne avesse alcuna percezione. Nel report 2026, Q Continuum riprende lo stesso tema indagando su un Chrome Web Store che oggi contiene circa 240.000 estensioni.
Le estensioni moderne non sono semplici “toolbar”, ma applicazioni complesse che possono leggere schede, intercettare richieste, accedere alla cronologia e operare in background. La combinazione di permessi ad alto impatto e telemetrie lato rete rende possibile che URL, referrer e metadati di sessione finiscano su sistemi gestiti da soggetti terzi.
Come funziona un’estensione Chrome che “vede” la navigazione dell’utente
Un’estensione Chrome si appoggia a un file manifest.json che dichiara permessi e componenti. Con Manifest V3, il browser di Google introduce un nuovo service worker, che si attiva sulla base di eventi e richieste. Cambia il modello di esecuzione delle estensioni, ma non elimina la capacità di osservare la navigazione: un’estensione può ottenere URL e contesto pagina tramite API e permessi, oppure tramite eventi legati alle schede e alle richieste di rete.
Due elementi sono particolarmente sensibili. Il permesso history abilita l’uso dell’API che consente di interrogare e gestire le pagine visitate; tabs amplia la visibilità sulle schede e, in certe condizioni, sull’URL corrente. A questi si aggiungono permessi di rete (ad esempio intercettazione o osservazione delle richieste) e le “host permissions”, che determinano su quali domini l’estensione può operare.
In pratica, un’estensione che promette blocco popup, miglioramento delle pagine Web o assistenza AI può richiedere permessi sproporzionati rispetto alla funzione dichiarata, e trasformarli in un canale di esportazione di URL, query e referrer.
La metodologia di Q Continuum: rilevare la sottrazione di dati senza leggere il codice
Gli esperti di Q Continuum hanno sviluppato un meccanismo automatizzato che esegue Chrome in un container Docker, instrada tutto il traffico attraverso un proxy man-in-the-middle e osserva se le richieste in uscita “crescono” al crescere degli URL visitati.
Per catturare le transazioni di rete, gli autori indicano l’uso di mitmdump (strumento CLI di mitmproxy) che registra richieste e risposte, poi analizzate a posteriori.
Molte tecniche di esfiltrazione dati cercano di confondersi nel rumore della telemetria: il criterio scelto da Q Continuum individua un comportamento ovvero la dipendenza sistematica del volume di traffico dal contenuto visitato.
Il punto non è solo che un URL venga trasmesso, ma cosa un URL può contenere. In ambito consumer può includere query di ricerca, parametri di tracciamento, identificativi; in ambito aziendale può esporre percorsi interni, nomi di host, identificatori di ticketing, parametri applicativi e, in alcuni casi, token o chiavi se fossero malauguratamente gestiti come query string.
In più, la cronologia aggregata consente attività di profilazione e correlazione cross-sito anche senza cookie: l’insieme di domini, tempi e sequenze visita diventa un’impronta comportamentale.
Come avviene il furto dei dati: quadro generale
Il report elaborato da Q Continuum mostra un elemento chiave: le estensioni non usano un solo metodo per esportare le URL visitate. Le tecniche variano per complessità, ma l’obiettivo è sempre lo stesso: trasferire informazioni di navigazione verso server esterni riducendo la probabilità di individuazione.
In alcuni casi i dati sono semplicemente “camuffati” con trasformazioni leggere o compressioni. Non si tratta di crittografia forte, ma di un modo per rendere meno immediata la lettura del traffico.
In altri casi viene utilizzata cifratura standard, con chiavi generate nel browser e protette tramite meccanismi asimmetrici. Qui non si cerca solo di nascondere il dato a un controllo superficiale, ma di impedire del tutto la lettura del contenuto da parte di terzi.
Esiste poi una terza categoria: l’uso di canali apparentemente legittimi, come endpoint di analytics o domini molto diffusi. In questi scenari il traffico non sembra anomalo, perché viene incanalato verso infrastrutture comuni e difficilmente bloccabili.
Cosa dovrebbero fare gli utenti
Per l’utente finale la priorità è ridurre la superficie d’esposizione. Meno estensioni installate significa meno codice potenzialmente in grado di “mettere le mani” sui dati di navigazione.
Ogni estensione che richiede permesso sulla cronologia o accesso completo ai siti visitati dovrebbe essere valutata con attenzione, soprattutto se la funzione dichiarata è marginale o cosmetica.
È buona norma rivedere periodicamente l’elenco delle estensioni installate, separare il profilo browser personale da quello lavorativo, evitare installazioni impulsive di tool promozionali, coupon o “assistenti” generici.
Cosa dovrebbero fare le imprese
In ambito aziendale il tema non può essere lasciato alla discrezionalità del singolo dipendente.
Per evitare problemi, si dovrebbe adottare una politica di allowlist: solo estensioni approvate possono essere installate. Gli amministratori dovrebbero svolgere una revisione periodica dei permessi richiesti e attivare il monitoraggio del traffico in uscita per individuare pattern anomali.
L’analisi statica del file manifest.json non è sufficiente quando l’esfiltrazione passa da cifratura o canali legittimi. È necessario osservare il comportamento reale dell’estensione in condizioni controllate.
/https://www.ilsoftware.it/app/uploads/2026/02/adguard-20000-righe-codice-javascript-remoto.jpg "AdGuard sotto la lente: inietta 20.000 righe di JavaScript in ogni pagina Web")
/https://www.ilsoftware.it/app/uploads/2026/02/mozilla-firefox-AI-controls.jpg "Firefox 148 introduce gli AI Controls: come disattivare tutte le funzioni di intelligenza artificiale")
/https://www.ilsoftware.it/app/uploads/2026/01/chrome-browser-agentico-AI-auto-browse.jpg "Chrome diventa “agentico”: AI Google ora naviga e agisce al posto tuo")
/https://www.ilsoftware.it/app/uploads/2025/03/google-chrome-vulnerabilita-mojo.jpg "Da Safari a Chrome: Google facilita il passaggio con Safari Import")