¿Qué tan riesgoso son las extensiones de Chrome populares?

20

Estoy a punto de cambiar a Chromium e instalé un par de extensiones. Cada vez que instalé una extensión me notificaron a qué datos tiene acceso la extensión, por ejemplo:

ingrese la descripción de la imagen aquí

Entiendo que el acceso a esos datos es necesario para que la extensión funcione, pero estoy un poco preocupado de que tal extensión algún día decida actualizar y robar ("teléfono a casa") todos mis datos de navegación.

Otro ejemplo de un mensaje aterrador (al habilitar extensiones para ventanas de incógnito):

Advertencia: Chromium no puede evitar que las extensiones graben su historial de navegación. Para deshabilitar esta extensión en modo incógnito, anule la selección de esta opción.

¿Es esa una posible amenaza al usar extensiones populares de Chrome? Da un poco de miedo tener que confiar en otra parte para cada nueva función que agregue al navegador.

security  google-chrome-extensions 
htorque
fuente
Una pregunta relacionada sobre Stack Overflow: stackoverflow.com/questions/249106/…
LeopardSkinPillBoxHat

Respuestas:

25

Estás olvidando lo siguiente:

Cuanto más popular es una extensión, menor es la posibilidad de que nadie se dé cuenta de que el complemento hace algo dañino.

En contraste con eso, si instala alguna extensión que nadie más ha usado antes, se arriesga más que, digamos, instalar AdBlock. Teniendo en cuenta que tantas personas lo están usando, es casi seguro decir: Alguien habría notado un tráfico inusual.

De hecho, todas las extensiones revelan su código fuente, por lo que cualquiera podría seguir adelante y buscar cualquier cosa sospechosa.

Las advertencias están ahí, por lo que no puede culpar a los proveedores del navegador por los daños causados, en caso de que instale algo que no sea correcto con sus datos. Siempre lea las reseñas de complementos que le parezcan sospechosos antes de instalarlos.

También tenga en cuenta que, por ejemplo, Google puede verificar las presentaciones:

Si bien Google no está obligado a monitorear los Productos o su contenido, Google puede en cualquier momento revisar o probar sus Productos y su código fuente para verificar el cumplimiento de este Acuerdo, las Políticas del programa Google Chrome Web Store y cualquier otro término, obligación o ley aplicable. o regulaciones, y puede usar medios automatizados para llevar a cabo dicha revisión

La eliminación de una extensión puede, por supuesto, causar algunos problemas al desarrollador.

slhck
fuente
2
Por lo tanto, las extensiones podrían recopilar y enviar mis datos, pero es menos probable con las populares, ya que el código fuente está disponible para el público.
htorque
1
@htorque Una extensión podría hacer eso, sí, pero dada la naturaleza de las cosas, si hay más personas a las que vigilar, las posibilidades de que ocurra algo malo son menores.
slhck
3
Puede haber razones "legítimas" para que envíen datos a sus servidores. En cuyo caso, es poco probable que sea una gran noticia si alguien se entera de que sí.
Stefano Palazzo
1
@Stefano Eso es, por supuesto, correcto. Oye, algunas extensiones ni siquiera funcionarían sin eso.
slhck
1
Sí, más ojos suele ser mejor. Desafortunadamente, también significa que mientras más personas lo usen, más personas asumirán que alguien más se encargará de revisarlo, y no lo harán ellos mismos, lo que resulta en una sensación de seguridad inflada y artificial. :-(
Synetech
9

Intentar hacer una evaluación de riesgos difícil. La popularidad trae dos cosas:

  • Más personas tratando de mejorarlo (detectando código incorrecto)
  • Más personas tratando de hackearlo (e introducir un código incorrecto) para atacar una base de usuarios más grande

Supongamos que para estos ejemplos estamos hablando de un proyecto de código abierto con código alojado en algo como github.

Si algo tiene un desarrollador, es solo una persona que registra el código. Si alguien (no el desarrollador) quiere agregar código a eso, o bien deben engañar al desarrollador para que agregue un parche malicioso (sucede), o apuntar a la autenticación de ese desarrollador para que puedan agregar el código ellos mismos (también sucede). La posibilidad de que cualquiera de estos ocurra depende de la capacidad del desarrollador y su seguridad.

Si hay 10 desarrolladores, hay 10 veces más vectores de ataque. Pero también 10 veces más personas que podrían detectar el código.

Estoy seguro de que hay un punto en un proyecto donde gana suficiente impulso para que las personas realicen auditorías de seguridad periódicas en su código. Pero en cualquier momento antes de eso, son columpios y rotondas.

tl; dr Hay demasiado difícil de resolver de manera realista. Hay demasiados elementos humanos. Si es importante, no confíes en él a menos que puedas verificar el código tú mismo.

Oli
fuente
+1, también una muy buena explicación.
slhck
2
Bueno, ya confío en cientos de hackers del kernel ... es extraño 'invertir' la confianza en terceros adicionales para funciones simples del navegador como el soporte de gestos del mouse (¿por qué esta extensión tiene la posibilidad de contactar al mundo exterior en primer lugar? ?)
htorque
El segundo punto de Oli es exactamente por qué la insistencia de los usuarios de Linux y Mac de que sus plataformas son superiores y más seguras para Windows está mal. La mayoría de los hackers no se molestan en hackear Linux o Mac porque no hay suficiente recompensa al hacerlo. Si lo hubiera, entonces el número de exploits explotaría (tal vez no tan alto como Windows, pero aún así ...) Es lo mismo con cualquier software, incluidas las extensiones. Cuanto más popular es, más incentivo hay para hackearlo. (Solo mire el creciente número de hacks de Facebook / Twitter / etc.)
Synetech
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.