SSP Editorial Team

Higiene de extensoes de navegador para usuarios de cripto

·6 min de leitura·Por SSP Editorial Team
Capa de seguranca da SSP com icones de carteira, chave, escudo e chip para higiene de extensoes de navegador

Uma carteira em extensao de navegador e conveniente: fica a um clique de distancia, assina transacoes ali mesmo e se conecta a dapps por um provedor injetado ou pelo WalletConnect. Essa conveniencia tem um custo. Uma extensao e codigo rodando dentro do seu navegador com permissao para ver e alterar as paginas que voce visita — e os atacantes sabem disso. Se voce faz autocustodia, o navegador faz parte do seu modelo de ameacas, e a higiene de extensoes e um dos habitos mais baratos e de maior impacto que voce pode construir.

Este guia aborda por que extensoes sao um alvo tao tentador, o punhado de regras que reduzem sua superficie de ataque, o que o LavaMoat faz e por que a extensao da SSP e construida com ele, e como o multisig 2 de 2 da SSP contem ate mesmo uma extensao totalmente comprometida. Novo na categoria? Comece com Carteiras em Extensao de Navegador Explicadas e depois volte aqui.

Por que uma extensao de navegador e um alvo apetitoso

Extensoes rodam com permissoes amplas. Uma extensao de carteira tipica pode ler e modificar o conteudo das paginas que voce carrega, observar o que voce digita e acessar a area de transferencia. Essas capacidades sao exatamente o que uma carteira precisa para injetar um provedor e exibir um pedido de assinatura — e exatamente o que um atacante quer.

Considere o que uma extensao maliciosa ou comprometida pode fazer sem nunca tocar na sua frase-semente:

  • Trocar um endereco copiado. Voce copia um endereco de recebimento; a extensao reescreve a area de transferencia para que o endereco que voce cola pertenca ao atacante. Esse padrao de sequestro de area de transferencia e antigo, confiavel e invisivel.
  • Injetar scripts em um dapp. Ela pode alterar a pagina que voce ve, mudando o valor ou o destino de uma transacao enquanto exibe os valores que voce esperava.
  • Ler o que esta na sua tela. Saldos, enderecos e qualquer outra coisa na pagina sao legiveis. Combinada com uma pagina de phishing, essa inteligencia torna a isca muito mais convincente — veja Ataques de Phishing Direcionados a Usuarios de Cripto.

A economia e brutal: uma unica extensao popular pode alcancar milhoes de usuarios de uma so vez, entao comprometer um unico publicador vale um esforco enorme. A versao mais perigosa nao e uma falsa que voce instala por engano — e uma extensao legitima em que voce ja confia e que se torna hostil apos uma atualizacao.

As regras de higiene

Voce nao pode tornar um navegador perfeitamente seguro, mas pode torna-lo um alvo ruim. O principio e o privilegio minimo: menos extensoes, permissoes mais estreitas e uma separacao limpa entre o seu navegador de cripto e todo o resto.

Minimize o que voce instala

Toda extensao e superficie de ataque e uma dependencia de cadeia de suprimentos que voce nao escreveu. Instale o minimo com que conseguir conviver, prefira projetos conhecidos com um longo historico e remova tudo o que parou de usar. Uma carteira mais uma ponte para carteira de hardware ja e bastante; uma duzia de complementos de produtividade compartilhando um navegador com seus fundos nao e.

Use um perfil de navegador dedicado

Crie um perfil de navegador separado — ou um navegador separado — usado apenas para cripto, com apenas a sua extensao de carteira instalada. O buscador de cupons, a ferramenta de captura de tela e a barra lateral de "IA" aleatoria ficam no seu perfil do dia a dia, onde nao podem ler a pagina enquanto voce assina uma transacao. Essa unica mudanca remove a maior parte do risco cotidiano com quase nenhum esforco.

Revise permissoes e atualizacoes

Quando voce instala ou atualiza uma extensao, leia o pedido de permissao em vez de clicar sem prestar atencao. "Ler e alterar todos os seus dados em todos os sites" e normal para uma carteira e alarmante para uma calculadora. A atualizacao automatica e um risco genuino de cadeia de suprimentos: a versao que voce avaliou na segunda-feira nao e a versao que e publicada na quinta-feira, e um mantenedor ou dependencia comprometida pode enviar codigo malicioso direto para o seu navegador. Voce nao consegue revisar cada atualizacao manualmente, entao prefira extensoes cujo modelo de seguranca presume que as proprias dependencias podem ser corrompidas — que e exatamente o que o LavaMoat oferece. Para o padrao mais amplo, leia Ataques de Cadeia de Suprimentos e Builds Deterministicos.

Identifique extensoes de carteira falsas

As lojas estao cheias de copias: o nome certo, um logo copiado, avaliacoes fabricadas e um publicador de quem voce nunca ouviu falar. O unico trabalho de uma extensao de carteira falsa e capturar a sua frase-semente ou trocar uma transacao. Antes de instalar, verifique se o publicador corresponde ao site oficial do projeto, confira o numero de instalacoes e o historico, e siga o link de download a partir do proprio projeto, em vez da busca da loja. As Politicas do programa da Chrome Web Store proibem a falsificacao de identidade, mas a aplicacao das regras fica atras da publicacao — trate a loja como um ponto de partida, nao uma garantia. E nunca digite a sua frase-semente em um popup de extensao.

O que o LavaMoat faz (e por que a SSP o usa)

Aplicativos web modernos sao montados a partir de centenas de pacotes de terceiros, qualquer um dos quais pode ser comprometido. O LavaMoat e um conjunto de ferramentas de codigo aberto que reforca o JavaScript contra exatamente isso: ele isola cada dependencia de terceiros em seu proprio ambiente restrito e impoe uma politica explicita do que cada pacote pode acessar. Um unico pacote envenenado nao consegue mais alcancar o restante do aplicativo para ler suas chaves, adulterar uma transacao ou exfiltrar dados — ele fica confinado a estreita superficie que sua politica permite.

Isso importa porque ataques de cadeia de suprimentos miram a dependencia, nao o projeto de destaque. A extensao de navegador da SSP e construida com o LavaMoat, entao mesmo que uma dependencia transitiva seja comprometida na origem, o raio de impacto e contido em vez de entregar as chaves da sua carteira. E defesa em profundidade aplicada ao unico risco que voce nao pode auditar pessoalmente: o codigo que outras pessoas escreveram. Para entender por que essa classe de ataque merece seu proprio manual, o OWASP cataloga riscos de cadeia de suprimentos e injecao em sua orientacao em owasp.org.

Onde o 2 de 2 da SSP contem uma extensao ruim

Aqui esta o ponto honesto e essencial. Suponha que o pior caso aconteca mesmo assim e que a sua extensao de navegador esteja totalmente comprometida. Ainda assim, ela so consegue fazer metade do trabalho.

A SSP e um multisig 2 de 2. Toda transacao precisa de duas assinaturas independentes — uma da extensao de navegador e uma da SSP Key no seu celular, um dispositivo separado com sua propria tela. Uma extensao comprometida pode construir uma transacao maliciosa, mas nao consegue produzir a segunda assinatura. Quando o pedido chega ao seu celular, voce ve o destino e o valor reais em uma superficie que a extensao nao controla, e voce o rejeita. O atacante fica com uma assinatura em uma transacao que nunca sera transmitida.

Isso e uma protecao real e estrutural, nao uma frase de marketing — e e exatamente por isso que duas superficies de aprovacao independentes superam uma. Tambem nao e uma licenca para usar um navegador sujo. A segunda chave protege o momento da assinatura; ela nao impede uma troca de area de transferencia que voce confirma manualmente, e nao desfaz maus habitos em outros lugares. Trate-a como sua ultima linha de defesa, nao a unica. Para ver onde ate o multisig tem limites, leia Modos de Falha de Multisig e Como a SSP os Mitiga e O Que Acontece Se Uma das Suas Chaves For Comprometida.

Uma auditoria rapida de extensoes

Faca isto em cinco minutos hoje e depois uma vez por trimestre:

  1. Abra a pagina de extensoes do seu navegador e liste tudo o que esta instalado.
  2. Remova toda extensao que voce nao usou no ultimo mes.
  3. Para cada sobrevivente, confirme que o publicador corresponde ao site oficial do projeto.
  4. Verifique as permissoes que cada uma possui e desinstale qualquer coisa com privilegios excessivos para o que faz.
  5. Mova a sua carteira para um perfil dedicado, exclusivo de cripto, se ela ainda nao estiver la.
  6. Confirme que a sua extensao de carteira vem da fonte oficial e, quando disponivel, e reforcada com o LavaMoat.

Continue avancando

A higiene do navegador e uma camada. Combine-a com consciencia sobre phishing, armazenamento sensato da frase-semente e uma compreensao clara de como as chaves da sua carteira sao divididas. Habitos solidos mais a arquitetura 2 de 2 da SSP fazem com que uma unica extensao ruim seja um inconveniente, nao uma catastrofe — mas os habitos ainda precisam ser seus.

Compartilhar este artigo

Artigos relacionados

Ilustração de uma carteira de extensão de navegador protegida por um sandbox e um cadeado de assinatura 2 de 2

Carteiras de extensão de navegador, explicadas

Como funcionam as carteiras de extensão de navegador, seus riscos de segurança e como a SSP os contém com LavaMoat e um design 2 de 2.

6 min read
Capa de segurança do SSP com ícones de carteira, chave, escudo e chip, ilustrando um guia sobre ataques de phishing cripto.

Ataques de Phishing Contra Usuários de Cripto (e Como Identificá-los)

O phishing cripto mira em você, não na criptografia. Aprenda os padrões — wallet drainers, approval phishing, envenenamento de endereços — e como o SSP ajuda.

7 min read
Ilustração de capa com ícones de carteira, chave, escudo e chip ao lado do título Ataques à cadeia de suprimentos e builds determinísticos

Ataques à cadeia de suprimentos e builds determinísticos

O que é um ataque à cadeia de suprimentos de software, por que carteiras cripto são alvos prioritários e como verificar o que você executa.

7 min read