Team MailSniper
Autore
Prenditi un secondo. Apri Chrome, guarda in alto a destra, conta le icone.
Cinque? Dieci? Quattordici?
C'è il blocca-pubblicità, il traduttore automatico, il gestore di password, quello che salva le schede aperte, il convertitore di PDF, forse qualcosa che hai installato una volta per un lavoro e non hai mai rimosso.
Ogni estensione che hai installato ha ottenuto dei permessi. Alcune accedono a tutti i siti che visiti. Alcune possono leggere il contenuto delle pagine. Alcune comunicano con server esterni ogni volta che apri una tab.
Ci fidiamo abbastanza di queste cose — specialmente se arrivano dal Chrome Web Store ufficiale. E in genere è giusto farlo.
Ma qualche settimana fa è emersa una falla che vale la pena capire bene, perché racconta qualcosa di più grande di un singolo bug: c'era una vulnerabilità in Chrome che permetteva a un'estensione malevola di sfruttare il pannello Gemini — l'assistente AI che Google ha integrato direttamente nel browser — per scalare i propri privilegi e accedere ai file sul tuo computer.
Sì. Ai file. Sul disco fisso.
Google ha risolto il problema con una patch. Ma la storia merita di essere raccontata per intero.
Per capire questa falla, dobbiamo partire da come Chrome gestisce la sicurezza internamente.
Il browser divide il suo funzionamento in compartimenti separati — pensa ai comparti stagni di una nave. Se uno si allaga, gli altri restano intatti. Le estensioni vivono in un compartimento con accesso limitato. Il browser vero e proprio — con tutte le sue funzionalità core — vive in un compartimento separato, con molti più privilegi.
Qui entra in gioco Gemini.
Il pannello Gemini, quello che Google ha aggiunto nella barra laterale di Chrome, è una funzionalità del browser, non un'estensione. Quindi vive nel compartimento privilegiato. Ha accesso a cose che le estensioni normalmente non possono toccare.
La falla funzionava così: un'estensione malevola riusciva a comunicare con il pannello Gemini in modo non previsto dai progettisti, convincendolo a eseguire operazioni per suo conto. Era come se un nuovo inquilino di un condominio riuscisse a convincere il portiere — con accesso a tutti i locali — a portare su un pacco senza controllare cosa c'è dentro. L'inquilino non ha le chiavi, ma il portiere sì.
Risultato: l'estensione, che da sola avrebbe potuto fare relativamente poco, attraverso Gemini riusciva ad accedere a risorse di sistema normalmente fuori dalla sua portata — inclusi i file locali.
I ricercatori di sicurezza che hanno scoperto la vulnerabilità hanno dimostrato concretamente che un'estensione malevola poteva:
Non stiamo parlando di uno scenario teorico. La proof-of-concept funzionava.
La buona notizia: Google ha patchato il problema. Se hai Chrome aggiornato — e quasi certamente ce l'hai, visto che si aggiorna da solo — sei al sicuro da questa specifica falla.
La cattiva notizia è il principio che questa storia porta alla luce.
"Beh, tanto Google ha risolto."
Vero. Ma aspetta un secondo.
Questa falla esiste perché Chrome ha aggiunto Gemini — una funzionalità AI — direttamente nel browser. Quella funzionalità aveva accesso privilegiato. E quel privilegio è diventato un punto di ingresso.
È matematico: ogni volta che un software aggiunge funzionalità nuove, la superficie di attacco si allarga. Più codice c'è, più potenziali falle esistono. Questo vale per il browser, per la suite Office, per il gestionale, per il software di fatturazione. Ogni annuncio del tipo "abbiamo aggiunto un assistente AI!" porta con sé, silenziosamente, anche nuovo codice da auditare, testare e patchare nel tempo.
Non è colpa di Gemini in sé. È la realtà dello sviluppo software.
C'è un aspetto di questa storia che preoccupa più della falla tecnica: il modo in cui il vettore di attacco funziona.
Funziona così: tu installi un'estensione che sembra innocua. Magari converte i PDF, magari confronta i prezzi su Amazon, magari migliora la leggibilità degli articoli online. Apparentemente fa quello che dice. Non ruba nulla in modo visibile, non ti reindirizza, non mostra comportamenti sospetti.
Ma sotto, sfrutta silenziosamente una falla come questa per raccogliere informazioni dal tuo sistema.
Non vedi nulla. Nessun rallentamento evidente, nessun popup strano, nessun allarme.
È come avere un idraulico che viene a riparare il bagno e, mentre è in casa, fotografa con il telefono i documenti lasciati sul tavolo in salotto. Non rompe nulla, non porta via nulla di fisico. Ma porta via qualcosa di molto più prezioso.
Se usi Chrome per lavoro — e in Italia la grande maggioranza lo fa — pensa a cosa hai sul tuo computer in questo momento.
Preventivi, contratti, offerte ai clienti. Email scaricate localmente. Fogli Excel con dati di fornitori o dipendenti. Credenziali di accesso salvate nel browser o in file di testo comodi sul desktop.
Un'estensione che riesce ad accedere ai file locali può trovare tutto questo. E spedirlo fuori, silenziosamente, mentre tu lavori tranquillo.
Per una PMI, non è solo un problema tecnico. Significa documenti riservati che finiscono nelle mani sbagliate. Significa dover rispondere a clienti e fornitori di una violazione che magari non sai ancora di aver subito. Significa, in certi casi, implicazioni sul fronte GDPR.
Partiamo dalle cose più semplici, nell'ordine in cui ha senso farle.
Vai su chrome://settings/help e controlla se hai l'ultima versione installata.
Chrome si aggiorna da solo, ma a volte aspetta che tu riavvii il browser per completare l'aggiornamento. Quella piccola freccia verde o arancione vicino all'icona del menu significa "ho un aggiornamento pronto, riavviami."
Non ignorarla. Non è una di quelle notifiche che puoi rimandare a settimana prossima.
Vai su chrome://extensions e guarda cosa hai.
Per ogni estensione, chiediti: la uso ancora? Ricordo perché l'ho installata? Serve davvero?
Se la risposta è "no" o "boh", rimuovila. Un'estensione che non usi è solo una potenziale superficie di attacco senza nessun beneficio in cambio. Tenerla installata "per sicurezza" è il contrario di quello che vuoi.
Per quelle che tieni, clicca su "Dettagli" e leggi i permessi che ha richiesto. Un'estensione per il controllo ortografico non ha nessun motivo ragionevole di accedere a tutti i siti che visiti.
Il Chrome Web Store ha un processo di verifica, ma non è infallibile — lo dicono gli stessi ricercatori di sicurezza che trovano regolarmente estensioni malevole dopo che sono rimaste online anche per mesi.
Preferisci estensioni pubblicate da aziende o sviluppatori riconoscibili, con molte recensioni reali, aggiornate regolarmente. Se ha 40 recensioni tutte da 5 stelle con testi vaghi e l'ultima versione risale a tre anni fa, lasciala perdere.
Una buona abitudine è usare profili Chrome separati — uno per il lavoro, uno per uso personale. Le estensioni installate in un profilo non girano nell'altro.
Sembra una piccola cosa, ma ti dà un livello concreto di separazione: le estensioni divertenti che installi per curiosità personale non girano mentre accedi ai sistemi aziendali.
Questa è la parte più importante se hai persone che lavorano per te.
Definire una policy sulle estensioni del browser non significa creare un'azienda-fortezza con divieti ovunque. Significa avere un elenco ragionevole: queste estensioni sono approvate, queste no, queste vanno richieste. Google Workspace e Microsoft 365 offrono strumenti per gestire le estensioni consentite sui dispositivi aziendali — non è roba solo per le grandi enterprise.
In parallelo, vale la pena presidiare bene i canali email: molte estensioni malevole arrivano proprio via link nelle email, travestiti da aggiornamenti necessari o strumenti utili. Un filtro come MailSniper blocca questi messaggi prima che arrivino nelle inbox del tuo team, togliendo dall'equazione buona parte del vettore di distribuzione.
Se il browser diventa improvvisamente più lento, consuma più CPU del solito, o le pagine impiegano più tempo a caricarsi, non ignorarlo.
Il Task Manager integrato di Chrome (Shift+Esc) ti mostra in tempo reale quanto consuma ogni estensione e ogni tab aperta. Un'estensione che non dovrebbe fare nulla in background e invece usa CPU o rete in modo costante è un segnale che qualcosa non torna.
Sai qual è la cosa che mi fa più riflettere di questa storia?
Non è la falla tecnica in sé. Le falle si trovano, si patchano, si chiudono. È il ciclo normale della sicurezza software.
Ciò che mi colpisce è la dinamica sottostante: Chrome ha aggiunto un assistente AI integrato direttamente nel browser. Quella funzionalità aveva più accesso di quanto fosse sicuro concedere in quel contesto specifico. Un ricercatore l'ha trovato, Google l'ha risolto.
Ma la prossima funzionalità AI che verrà aggiunta — al browser, all'app di posta, al gestionale — avrà anch'essa codice nuovo, con le sue eventuali falle, che aspettano di essere trovate. Da qualcuno con buone intenzioni, o da qualcuno con intenzioni molto diverse.
Non è un motivo per smettere di usare gli strumenti AI — spesso sono utili davvero. È un motivo per trattarli con la stessa cura con cui tratteresti qualsiasi altro software: tenerli aggiornati, capire cosa gli stai concedendo, e non dare per scontato che "è di Google" significhi automaticamente "è sicuro in ogni scenario possibile".
Il minimo che puoi fare è aggiornare Chrome e fare una pulizia alle estensioni. Hai le istruzioni, ci vogliono dieci minuti.
Se vuoi approfondire come difendere i canali di comunicazione della tua azienda in modo più strutturato, la sezione FAQ di MailSniper risponde alle domande pratiche più comuni — senza gergo tecnico inutile.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoVenerdì pomeriggio, CISA aggiunge CVE-2025-53521 al KEV: exploit attivi su F5 BIG-IP APM, il sistema che gestisce l'accesso remoto di migliaia di aziende. La corsa contro il tempo è iniziata.
LeggiIl Rapporto Clusit 2025 lancia l'allarme: il manifatturiero italiano è diventato il bersaglio preferito degli hacker. Con 213 attacchi in sei mesi, le aziende industriali devono correre ai ripari prima che sia troppo tardi.
LeggiQuando i criminali si nascondono dietro un fornitore fidato, l'email non sembra pericolosa — perché non lo è. La minaccia arriva dall'interno della catena di fiducia. Ecco come funziona il vendor email compromise e cosa si può fare.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.