Qual é o tamanho do risco das extensões populares do Chrome?

19

Estou prestes a mudar para o Chromium e instalei algumas extensões. Cada vez que eu instalei uma extensão, sou notificado de quais dados a extensão tem acesso, por exemplo:

Euentendoqueoacessoaessesdadosénecessárioparaqueaextensãofuncione,masestouumpoucopreocupadoqueessaextensãopossaumdiadecidiratualizareroubar("telefone residencial") todos os meus dados de navegação.

Outro exemplo de uma mensagem assustadora (ao ativar extensões para janelas anônimas):

Warning: Chromium cannot prevent extensions from recording your browsing history. To disable this extension in incognito mode, unselect this option.

Essa é uma possível ameaça ao usar extensões populares do Chrome? É um pouco assustador ter que confiar em outra parte para cada nova função adicionada ao navegador.

    
por htorque 25.06.2011 / 14:47

2 respostas

25

Você está esquecendo o seguinte:

Quanto mais popular for uma extensão, menor é a chance de ninguém notar que o add-on faz algo prejudicial.

Ao contrário disso, se você instalar alguma extensão que ninguém mais usou antes, você arrisca mais do que, digamos, instalar o AdBlock. Considerando que tantas pessoas estão usando, é quase seguro dizer: alguém teria notado um tráfego incomum.

Na verdade, todas as extensões divulgam seu código-fonte, então qualquer pessoa poderia basicamente ir em frente e procurar por algo suspeito.

Os avisos estão aí, por isso você não pode culpar os fornecedores de navegadores por qualquer dano causado, caso você instale algo que não se aplica aos seus dados. Sempre leia as revisões de complementos que parecem suspeitos antes de instalá-los.

Observe também que, por exemplo, o Google pode verificar os envios:

While Google is not obligated to monitor the Products or their content, Google may at any time review or test your Products and their source code for compliance with this Agreement, the Google Chrome Web Store Program Policies, and any other applicable terms, obligations, laws, or regulations, and may use automated means to conduct such review

A remoção de uma extensão pode causar algum problema para o desenvolvedor.

    
por 25.06.2011 / 14:54
9

É uma avaliação de risco difícil de tentar. A popularidade traz duas coisas:

  • Mais pessoas tentando melhorar (identificando código incorreto)
  • Mais pessoas tentando invadir (e introduzir códigos ruins) para atacar uma base de usuários maior

Vamos supor que para esses exemplos estamos falando de um projeto de código aberto com código hospedado em algo como o github.

Se algo tiver um desenvolvedor, é apenas uma pessoa que faz check-in no código. Se alguém (não o desenvolvedor) quiser adicionar código a isso, precisará enganar o desenvolvedor para adicionar um patch malicioso (isso acontece) ou direcionar a autenticação desse desenvolvedor para que ele possa adicionar o código em si (isso também acontece). A chance de um desses eventos acontecer depende da capacidade do desenvolvedor e de sua segurança.

Se houver 10 desenvolvedores, haverá 10 vezes mais vetores de ataque. Mas também 10 vezes mais pessoas que podem identificar o código.

Tenho certeza de que há um ponto em um projeto em que ele ganha impulso suficiente para que as pessoas realizem auditorias de segurança regulares em seu código. Mas a qualquer momento antes disso, é balanços e rotundas.

tl; dr É muito difícil trabalhar de forma realista. Existem muitos elementos humanos. Se for importante, não confie nele, a menos que você mesmo possa verificar o código.

    
por 25.06.2011 / 15:03