Las extensiones de Chrome tienen la característica de actualizarse de manera automática sin que el usuario necesite interactuar, pero existen problemas muy grandes con esta forma de operación. Dichos aditamentos para el navegador tienen un autor, pero ellos pueden transferir su autoría a otro desarrollador sin que los usuarios reciban una notificación al respecto. Esto significa que, si el nuevo autor envía actualizaciones, los usuarios las recibirán sin aviso alguno, incluso pensando que provienen del viejo autor.
Distintos anunciantes y hackers comenzaron a aprovecharse de esta característica, mediante la compra de la autoría de extensiones existentes para implantarles comerciales y hasta malware por medio de actualizaciones. Por supuesto, los blancos para la práctica suelen ser aplicaciones populares creadas por desarrolladores independientes, como Add to Feedly, creada por Amit Agarwal.
Agarwal comentó que recibió una oferta de 4 cifras por su extensión, cuyo desarrollo no tomó más de una hora. ¿Venderías 60 minutos de tu trabajo por un par de miles de dólares? Es una pregunta cuya respuesta es casi obvia, Agarwal aceptó de inmediato y recibió el dinero a través de PayPal. Por otra parte, el contexto cambia cuando se sabe que Add to Feedly tenía más de 30,000 usuarios, pues el desarrollador vendió su confianza y seguridad junto con la extensión. Los expuso a un riesgo y eso le dará una mala reputación que podría afectar sus futuras creaciones.
Las extensiones modificadas pueden llevar a cabo distintas actividades: además de introducir anuncios —muchos de los cuales tienen sonido—, también son capaces de modificar la URL a la que dirigen los enlaces de los resultados de buscadores como los de Google y Yahoo. Por ejemplo, si das clic a una liga que dice que te llevará a Facebook, la extensión puede meterse en el camino para enviarte a un sitio malicioso.
Google depende de los reportes de los usuarios para descubrir las extensiones que se han vuelto maliciosas
Un gran problema es que Google no puede estar al tanto de las actualizaciones que recibe cada extensión para verificar si dañará a sus usuarios. La compañía depende de que los mismos usuarios reporten anomalías para percatarse de que algo está mal. Eso no es todo, los antivirus no pueden detectar ni eliminar a las extensiones que inunden a Chrome con anuncios, dificultando que los usuarios detecten la aplicación responsable.
Por el momento, las reseñas de los usuarios son la única fuente para saber si una extensión sufre este mal. Google debe tomar cartas al respecto; para empezar, debería avisar a los usuarios cuando una extensión cambia de autor, y autorizar lo que el nuevo desarrollador introduce con sus actualizaciones.
Deja tu comentario