Cuidado con las extensiones de tu navegador; podrían estar vendiendo tu historial

Escrito por Alberto García
Software

Uno de los principales problemas de seguridad que presentan los navegadores se encuentra en las extensiones. La clave está en los permisos que éstas soliciten al instalarle. Tal y como pasa con las aplicaciones en Android, si no revisamos a qué puede acceder una extensión o aplicación, ésta puede estar recogiendo información sobre nuestra navegación en la web.

En función de cómo esté diseñada una extensión y los permisos que tenga, ésta puede recopilar cualquier dato de nuestra navegación en la web. En el caso que nos ocupa, una empresa de publicidad recopilaba la información del historial de los usuarios para venderla a terceros.

La extensión tiene más de 140 millones de descargas

Había varias aplicaciones gestionadas por la empresa de publicidad WOT, y una de las más populares era Web of Trust, pensada para la navegación segura indicándote qué paginas son de fiar. En total, los datos a los que ha podido acceder el medio alemán NDR reflejan que hay más de 3 millones de usuarios afectados, la gran mayoría alemanes. Las extensiones de esta empresa estaban disponibles para Chrome y Firefox, los navegadores web más populares.

web-of-trust

A pesar de que los datos a los que tuvieron acceso los periodistas fueran de usuarios de Alemania, la extensión se ha descargado más de 140 millones de veces, por lo que es seguro que hay otras colecciones de datos de usuarios de todo el mundo.

Los datos no eran anónimos

Lo peor del asunto es que los datos que recopilaba la empresa no estaban anonimizados del todo, por lo que el equipo de investigadores del diario NDR pudieron incluso identificar a determinados usuarios a partir de la información que recopilaba la extensión. En concreto, se guardaban correos electrónicos que utilizaban los usuarios para cuentas de PayPal, o nombres de usuario de Skype. De esta manera, las palabras de WOT de que los datos son 100% anónimos quedan en papel mojado.

anonimato-chrome-firefox

Poder asociar esta información a personas supone poder incluso descubrir determinada información que puede poner en aprieto a la persona identificada. Por ejemplo, los periodistas descubrieron información de investigaciones policiales, intereses financieros de determinadas empresas, las preferencias sexuales de un juez, o búsquedas relacionadas con drogas, prostitución, o enfermedades.

Otro problema que genera esto es que al guardarse las URL que visitan los usuarios, se puede volver a acceder a esa URL única generada. Este es el caso de un archivo almacenado en un servicio de almacenamiento público sin la seguridad adecuada, cuya URL permite acceder al archivo personal del usuario.

Por último, la extensión también recogía información como la fecha y lugar desde el que se accedía al contenido. La información, al venderse a terceros, puede luego revenderse al mejor postor, que puede hacerla pública con el fin de dañar o extorsionar a un determinado usuario en función de su navegación.

Fuente > ghacks