Verifique las extensiones de Google Chrome antes de instalarlas

Las extensiones de Google Chrome pueden ampliar la funcionalidad del navegador web o hacer la vida más fácil mientras navega por la web. Si bien ese es el caso, las empresas también pueden abusar de ellos para rastrear a los usuarios en Internet, mostrar anuncios o descargar códigos maliciosos en el sistema del usuario.

Este artículo le proporciona los medios para verificar las extensiones de Chrome antes de instalarlas. Es importante hacerlo antes de que la extensión se instale en el navegador, ya que puede que sea demasiado tarde después de la instalación.



Si bien puede configurar un entorno de prueba para las extensiones del navegador, por ejemplo, en un Sandbox y con un monitor de tráfico de red como Wireshark, es posible que no sea algo con lo que la mayoría de los usuarios se sientan cómodos.

Parte 0: En qué no debes confiar

Chrome Web Store puede parecer una ubicación segura para todas sus necesidades de extensión, pero no lo es. Google utiliza comprobaciones automáticas que escanean las extensiones que los desarrolladores suben a la tienda. Estas comprobaciones detectan algunas pero no todas las formas de funciones que infringen la privacidad o que son completamente maliciosas.

Trend Micro descubierto por ejemplo, extensiones de navegador maliciosas en la tienda web oficial en 2014, y no es la única empresa que lo hizo.

Un método común utilizado por las extensiones para pasar todas las comprobaciones de seguridad es incluir un script que cargará la carga útil maliciosa.

La extensión en sí no lo contiene cuando se envía a la tienda web de Chrome. Por lo tanto, la extensión pasa la verificación y se agrega a la tienda donde todos los usuarios de Chrome pueden descargarla.

Si está interesado en un ejemplo reciente desagradable, consulte el malware en el navegador artículo de Maxime Kjear.

La descripción la crea el desarrollador de la extensión y, por lo tanto, no se puede confiar en ella sin verificación.

Los comentarios de los usuarios pueden resaltar extensiones problemáticas, pero no siempre es así. Por lo tanto, tampoco se debe confiar en ellos a este respecto sin verificación.

Por último, pero no menos importante, no debe confiar ciegamente en las recomendaciones ni en las ofertas para instalar una extensión porque es necesaria para algo o porque se le anuncia.

Parte 1: La descripción

chrome description extensions

Muchas extensiones que utilizan análisis, seguimiento de clics, seguimiento de su historial de navegación y otros formularios de seguimiento destacan el hecho en la descripción de la extensión.



Es posible que no vea esto a primera vista, ya que Google prefiere el estilo a la sustancia en la tienda. El campo de descripción es pequeño y, a menudo, es necesario desplazarse para leerlo todo.

Mira el popular Captura de pantalla impresionante extensión, por ejemplo. Parece legítimo, ¿verdad? Muchas críticas positivas, más de 580.000 usuarios.

Si se toma el tiempo y se desplaza por la descripción, eventualmente se encontrará con el siguiente pasaje:

El uso de la extensión del navegador Awesome Screenshot requiere otorgarle permiso para capturar datos de flujo de clics anónimos.

¿Quieres otro ejemplo? ¿Qué tal Hover Zoom, una extensión con más de 1.2 millones de usuarios que ha sido criticada en el pasado por rastrear la integración? Desplácese hacia abajo y encontrará ..

Hover Zoom requiere que los usuarios de la extensión otorguen permiso a Hover Zoom para recopilar la actividad de navegación para usarla internamente y compartirla con terceros, todo para su uso de forma anónima y agregada con fines de investigación.

Flash Player + es otra extensión que destaca en su descripción que registra datos y comparte esos datos con terceros.

Con el fin de apoyar y mejorar continuamente este software, los usuarios que lo instalan permiten que Fairshare recopile y comparta información sobre ellos y su actividad de uso de la web con terceros con fines comerciales y de investigación.

Una forma rápida de encontrar estas extensiones es buscar frases utilizadas en esas descripciones. Una búsqueda de exclusión voluntaria, por ejemplo, revela muchos de ellos en los resultados de búsqueda (junto a extensiones legítimas). Muchos usan la misma descripción, lo que significa que una búsqueda de 'recopilar y compartir información sobre ellos' revelará extensiones que usan este tipo de seguimiento, por ejemplo.

Parte 2: Información directa

chrome extensions information

La siguiente información se muestra en la página de perfil de las extensiones en Chrome Web Store:



La empresa o particular que lo creó / lo ofrece.
Una calificación agregada y el número de usuarios que la calificaron.
El número total de usuarios.
La última fecha actualizada.
La versión.
La información le da pistas pero no son suficientes para juzgar una extensión. Muchos pueden ser falsificados o inflados artificialmente, por ejemplo.

Google no proporciona un enlace a todas las extensiones de una empresa o individuo, y no hay ninguna opción para obtener la validación.

Si bien puede usar la búsqueda para encontrar otras extensiones de una empresa o individuo, no hay garantía de que los resultados las enumeren todas.

Parte 3: Permisos

facebook permissions

Por lo general, no es posible determinar si una extensión es legítima, rastrearte o si es completamente maliciosa en función de los permisos que solicita solo.



Sin embargo, hay indicadores de eso. Por ejemplo, si una extensión que mejora Facebook solicita 'leer y cambiar todos sus datos en los sitios web que visita', puede llegar a la conclusión de que es mejor que no instale la extensión basándose en eso. Dado que solo debería funcionar en Facebook, no es necesario otorgarle permisos de gran alcance para ver y manipular datos en todos los sitios.

Sin embargo, esto es solo un indicador, pero si usa el sentido común, es posible que pueda evitar la instalación de extensiones problemáticas. Por lo general, existe una alternativa disponible que ofrece una funcionalidad similar pero sin las solicitudes de permisos de gran alcance.

Es posible que también desee verificar estos permisos para todas las extensiones instaladas. Cargue chrome: // extensions / y haga clic en el enlace de detalles debajo de cada extensión. Esto muestra todas las solicitudes de permiso de esa extensión nuevamente como una ventana emergente en el navegador.

Parte 4: Política de privacidad

Siempre que la extensión se vincule a una página de Política de privacidad, puede encontrar información en ella que revele si los usuarios son rastreados o no. Esto no funcionará de forma inconsciente para las extensiones maliciosas.

Por ejemplo, si consulta la Política de privacidad de Fairshare vinculada desde extensiones como Hover Zoom, encontrará el siguiente pasaje en ella:

La Compañía puede utilizar cookies del navegador, datos de almacenamiento web y DOM, cookies de Adobe Flash, píxeles, balizas y otras tecnologías de seguimiento y recopilación de datos, que pueden incluir un identificador único anónimo.

Estas tecnologías se pueden utilizar para recopilar y almacenar información sobre su uso de los Servicios, incluidas, entre otras, las páginas web, las funciones y el contenido al que ha accedido, las consultas de búsqueda que ha realizado, la información de URL de referencia, los enlaces en los que ha hecho clic y los anuncios han visto.

Estos datos se utilizan para fines comerciales, como proporcionar anuncios y contenido más relevantes, e investigación de mercado.

Parte 5: El código fuente

fairshare

Revisar el código fuente puede ser la mejor opción que tienes para averiguar si una extensión te rastrea o es maliciosa.



Esto puede no ser tan técnico como parece y, a menudo, es posible determinarlo con conocimientos rudimentarios de HTML y JavaScript.

Lo primero que necesita es una extensión que le permita tomar el código fuente de una extensión sin instalarla. Visor de fuente de extensión de Chrome es una extensión de código abierto para Chrome que te ayuda con eso.

Una alternativa a eso es ejecutar Chrome en un entorno de espacio aislado, instalar extensiones en él para obtener acceso a sus archivos.

Si usa el visor de la fuente de la extensión, puede hacer clic en el ícono de crx en la barra de direcciones en la tienda web de Chrome para descargar la extensión como un archivo zip o ver su fuente de inmediato en el navegador.

Puede ignorar todos los archivos de imagen y .css de inmediato. Los archivos que debería examinar más de cerca suelen tener la extensión .js o .json.

Primero puede verificar el archivo manifest.json y verificar el valor content_security_policy para ver una lista de dominios allí, pero eso generalmente no es suficiente.

Algunas extensiones usan nombres obvios para rastrear archivos, por ejemplo, anuncios, por lo que es posible que desee comenzar por ahí.

Es posible que no pueda saber si no conoce JavaScript, sin embargo, si ese no es el caso.

Ahora tu: ¿Ejecuta extensiones de Chrome? ¿Los ha verificado antes de la instalación?