Detecta cambios de propietario en las extensiones de Chrome instaladas

 (github.com/classvsoftware)
2 puntos por GN⁺ 2024-03-07 | 1 comentarios | Compartir por WhatsApp

Bajo nueva administración

  • Una extensión con la capacidad de verificar si cambió la información del desarrollador listada en Chrome Web Store.
  • Revisa de forma intermitente los cambios de propiedad de las extensiones instaladas.
  • Si hay cambios, muestra una insignia roja en el ícono de la extensión para alertar al usuario.
  • Creada por Matt Frisbie.
  • Discutida en una conversación de Hacker News.

¿Por qué es necesaria?

  • Los desarrolladores de extensiones reciben constantemente ofertas de compra para sus extensiones.
  • En la mayoría de los casos, estos compradores intentan engañar a los usuarios existentes.
  • Los usuarios no saben que la extensión cambió y ahora podría estar comprometida.
  • Bajo nueva administración ofrece a los usuarios una notificación sobre cambios de propiedad para que puedan tomar decisiones informadas sobre el software que usan.

Cómo instalarla

  • Instálala aquí: (pendiente de aprobación en Chrome Web Store)
  • O descarga una versión precompilada, descomprime el archivo .zip y carga el directorio dist en Chrome.

Compilar desde el código fuente

  • Bajo nueva administración usa Parcel, React, Typescript y TailwindCSS.
  • Instala las dependencias con yarn install.
  • Ejecútala localmente con yarn start.
  • Genera la versión de lanzamiento con yarn build.

¿Por qué se necesita un servidor externo?

  • El navegador tiene reglas especiales que modifican los dominios de marketplaces de extensiones.
  • Por ejemplo, no se puede configurar una regla declarative_net_request para chromewebstore.google.com.
  • Por eso, esta extensión delega la verificación de la información del desarrollador al servidor API de ExBoost.

Opinión de GN⁺

  • Esta extensión es una herramienta importante que ayuda a los usuarios a proteger su privacidad y sus datos. Al notificarles cuando cambia la propiedad de una extensión, permite responder a posibles riesgos de seguridad derivados de ese cambio.
  • Los cambios de propiedad de extensiones deberían divulgarse de forma transparente a los usuarios, y las herramientas que detectan estos cambios cumplen un papel importante para mantener la confianza de los usuarios.
  • Otros proyectos open source que ofrecen esta tecnología o funciones similares incluyen Privacy Badger de la EFF y Privacy Essentials de DuckDuckGo. Estos se enfocan en proteger la privacidad en línea del usuario.
  • Al adoptar esta extensión, conviene considerar si realmente detecta con precisión los cambios de propiedad y si esa detección no afecta negativamente la experiencia de navegación del usuario.
  • Como los cambios de propiedad pueden implicar un riesgo de seguridad real para el usuario, este tipo de extensión es una herramienta muy útil y necesaria. Sin embargo, como puede que no detecte perfectamente todos los cambios de propiedad y un cambio detectado no siempre implique un resultado negativo, los usuarios deben seguir actuando con cautela.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-03-07
Comentario de Hacker News
  • Hace unos meses, el autor creó una extensión gratuita y de código abierto para acelerar los anuncios de YouTube y la compartió en Hacker News, donde llegó a la portada. Una semana después, un usuario la copió y promocionó su propia versión en Reddit; se volvió viral y consiguió más de 300 mil usuarios. El autor cuestiona por qué alguien copiaría una extensión gratuita y de código abierto, y menciona que más tarde esa persona intentó venderla en varios sitios por una suma de cinco cifras. También dice que descubrió que el desarrollador registrado en Chrome Store había cambiado.
    • El ID de una extensión se deriva de la clave privada que el desarrollador proporciona cuando la sube por primera vez a la tienda de aplicaciones, y si en una carga posterior se incluye un key.pem distinto, el ID cambia. Si el ID cambió, es posible que el propietario haya cambiado, aunque el dueño original también pudo haber entregado la clave privada al nuevo dueño. Google no exige la clave privada en cada subida, así que el nuevo propietario puede publicar cambios sin tener acceso a esa clave.
    • Un usuario comentó que el ecosistema de extensiones es muy interesante y mencionó que está desarrollando herramientas para este ámbito. Quiere crear un repositorio de GitHub dirigido a extensiones específicas para rastrear sus actualizaciones, hacer push de cada actualización como cambios en el repositorio, ejecutar analizadores estáticos sobre el código y experimentar con análisis de contaminación en tiempo de ejecución.
    • El dueño de una popular extensión de Chrome de código abierto dijo que las donaciones que ha recibido durante años ni siquiera cubren el gasto mensual de café. Sin embargo, ha recibido varias ofertas para comprar la extensión con fines maliciosos, y las rechazó todas. Sostuvo que la moral del desarrollador original no debería ser el único marco de seguridad y privacidad.
    • Como mencionó otro comentarista, la extensión es útil, pero debería ser una función integrada del navegador desde el principio. También hubo una pregunta sobre si avisa automáticamente cuando cambia la propiedad, o si hay que ejecutar manualmente el comando check. Otra opinión fue que debería cambiarse la política para que cualquier cambio de propiedad de una extensión requiera la aprobación del usuario.
    • En el caso de las extensiones de Firefox, Mozilla opera el "Programa de extensiones recomendadas", que pasa por una rigurosa revisión técnica realizada por expertos en seguridad. Sin embargo, no está claro si todas las actualizaciones se revisan antes de publicarse. Si todas las actualizaciones se revisaran, esto podría resolver el problema para las extensiones populares.
    • Si una extensión cambia de manos con fines maliciosos, muchas veces lo que se vende son las credenciales de la cuenta de desarrollador de Google, por lo que estos casos podrían no detectarse.
    • Un usuario dijo que instaló adblock hace mucho tiempo y, al volver a instalarlo en una computadora nueva, revisó los permisos. Para bloquear anuncios, necesita poder ver lo que el usuario ve, pero nunca se había puesto a pensar cuántos permisos exige eso. Ahora usa pihole y no usa extensiones en absoluto.
    • Se planteó la duda de si los compradores maliciosos de extensiones podrían esquivar este problema manteniendo intacto el nombre del desarrollador, y si en la tienda de extensiones de Chrome el nombre del desarrollador se controla estrictamente.
    • Hubo una opinión de que, aunque el objetivo de la extensión es válido, resulta sospechoso enviar la lista completa de extensiones a una red publicitaria centrada en extensiones. Se explicó que hace falta un servidor externo porque el navegador tiene reglas especiales para modificar los dominios del marketplace de extensiones.
    • También hubo opiniones de que esta es una función que debería venir integrada en todos los navegadores, y que si cambia el propietario, las actualizaciones deberían desactivarse automáticamente.