El 85% de las aplicaciones y extensiones de Chrome carecen de política de privacidad

Un informe de Duo Security tras analizar 120.000 aplicaciones y extensiones de Chrome, asegura que el 85% de ellas carecen de política de privacidad, lo que significa que los desarrolladores pueden manejar tus datos como estimen oportuno.

Chrome arrasa en cuota de mercado de navegadores web de escritorio. Volvió a ganar usuarios en diciembre cerrando el año con la cifra de cuota de mercado más alta de su historia, un 67,18% según los datos de Netmarketshare. Teniendo en cuenta ello es probable que te preocupe el estudio de Duo Security.

La firma de seguridad analizó 120.000 piezas de software para Chrome en el proceso de creación de una herramienta gratuita que analiza las extensiones del navegador y produce informes de seguridad. Los resultados son inquietantes:

• El 35 por ciento de las aplicaciones y extensiones de Chrome pueden leer datos en cualquier sitio que visites.
• Casi el 32 por ciento usa bibliotecas de terceros con vulnerabilidades conocidas.
• El 77 por ciento de ellas no tiene un sitio de soporte.

Como señala Duo en una publicación del blog, los usuarios a menudo otorgan permisos a las extensiones sin mucha consideración, y por muy bien intencionados que sean esos permisos, no sirven de nada si un tercero malintencionado compra o extiende una extensión. 

El pasado octubre, los desarrolladores de extensiones de Chrome fueron objeto de un ataque masivo de phishing en el que los piratas informáticos intentaron acceder a las credenciales de inicio de sesión para las cuentas de desarrollo de Google.

Dado que los permisos por sí solos no proporcionan una imagen completa de las propiedades de seguridad de una extensión, Duo está promocionando su herramienta ya que crea una lista de los sitios a los que cada código de extensión probablemente realiza solicitudes externas; analiza las bibliotecas de JavaScript de terceros en busca de vulnerabilidades y analiza el contenido de la política de seguridad de cada (si la tiene).

Cuidado con las extensiones de Chrome

Google anunció la llegada de las extensiones de Chrome hace casi una década y desde entonces se han vuelto inmensamente populares como un complemento que amplía las funcionalidades del navegador. No hay navegador web que se precie que no cuente con ellas y para Chrome, se cuentan hoy unas 180.000, la mayoría almacenadas en la tienda Chrome Web Store.

Si algunas de ellas son -casi- imprescindibles para muchos usuarios al ampliar el potencial del navegador, aumentar sus características o permitir distintas personalizaciones, no todo es positivo en estas pequeñas piezas de software. Dependiendo de su número y características pueden afectar al rendimiento y también a la seguridad, porque las extensiones son una vía de entrada preferente para el malware.

Google ha intentado atajarlo de varias maneras y hace unos meses anunció el bloqueo de las instaladas desde sitios de terceros permitiendo únicamente las instaladas desde la tienda oficial, además de añadir cambios adicionales en el proceso de revisión de extensiones, controles de usuario para permisos de host, nuevos requisitos de legibilidad del código o la verificación en dos pasos. 

Sin embargo, los datos de Duo muestran que todavía hay mucho trabajo por hacer. Como recomendación, evita el uso de extensiones de Chrome que no pertenezcan a desarrolladores reconocidos y de buena reputación o al menos, verifica primero sus políticas de seguridad.