Descubren casi 200 extensiones de Chrome que pueden ser usadas para espiarnos

Software

Las extensiones de Google Chrome son un elemento básico de este navegador y claves para explicar en parte su éxito. Sin embargo, como en cualquier plataforma o aplicación de éxito, muchos intentan aprovechar debilidades de los sistemas para robar datos o espiar a los usuarios. Las extensiones del navegador de Google no se libran de este problema e investigadores de la Université Côte d’Azur descubren casi 200 extensiones de Chrome que pueden ser usadas para espiarnos.

El problema está relacionado con los permisos que concedemos a las extensiones. Es cierto que Google Chrome nos muestra los permisos que vamos a conceder a una extensión antes de instalarlas, pero se ha convertido en algo tan monótono que simplemente aceptamos sin más. Es algo así como las condiciones legales que nadie se lee al instalar Windows o cualquier otra aplicación.

Casi 200 extensiones de Chrome pueden ser usadas para espiarnos

Esta falta de control con lo que instalamos puede generarnos algún dolor de cabeza en el futuro. De hecho, no sólo debemos tener cuidado con las extensiones maliciosas, también con los permisos según el último descubrimiento de seguridad. Dolière Francis Somé, investigador de la Université Côte d’Azur, ha analizado las API de estas en profundidad.

Extensiones Google Chrome

Nos explica que las extensiones son capaces de hacer cosas que las páginas web no pueden ya que están protegidas y restringidas por la norma Same Origin Policy (SOP) que impide que se compartan datos. Sin embargo, este investigador quería comprobar si las extensiones eran capaces de saltarse las protecciones de SOP consiguiendo así acceso a los datos privados de los usuarios, historial de navegación, credenciales o descargas.

De las 78.315 extensiones analizadas que utilizaban la WebExtension API, este encontró que 197 extensiones eran capaces de saltarse esa protección. Realmente, no deberíamos estar muy preocupados ya que menos de 200 de casi 80.000 analizadas es un porcentaje bajo, pero su descubrimiento abre la puerta a que algo peor pueda pasar en el futuro.

Por ello, existen varias soluciones sobre la mesa. La primera sería impedir la comunicación entre extensiones y páginas web, aunque esto haría que muchas dejaran de funcionar o perdieran las capacidades para las que fueron diseñadas. Otra solución pasaría por exigir a los desarrolladores un listado de páginas con los que van a interactuar.

Para el investigador encargado de destapar el asunto, los responsables de los navegadores deberían revisar las extensiones de forma más rigurosa para impedir que puedan producirse problemas para los usuarios que terminen con sus datos robados o algo peor. De hecho, Google ya ha anunciado que acabará con las apps de Android que tengan acceso a los SMS y llamadas.

Escrito por Claudio Valero

Fuente > nakedsecurity