Mozilla y Google están tomando medidas enérgicas contra las extensiones maliciosas y abusivas disponibles para los navegadores Firefox y Chrome, respectivamente. Los movimientos se producen en respuesta a la reciente detección de complementos que violaron las políticas del fabricante del navegador, a pesar de los procesos de revisión diseñados para eliminar productos que son maliciosos o tienen el potencial de serlo.
El movimiento más significativo fue la expulsión de Mozilla durante el último mes de casi 200 extensiones. La mayoría de ellos, 129, para ser exactos, fueron desarrollados por 2Ring, un fabricante de software comercial. No hay evidencia de que las extensiones fueran maliciosas, pero los funcionarios de Mozilla descubrieron que ejecutaron un código alojado en un servidor remoto, en violación de las políticas de Mozilla. El representante agregó que las instalaciones actuales no se ven afectadas y que los usuarios que deseen instalar una extensión aún pueden hacerlo manualmente.
Un representante de 2Ring dijo que los funcionarios de la compañía se comunicaron con Mozilla sobre el movimiento y están esperando una respuesta. El representante agregó que las extensiones, que las empresas usan para integrar sistemas CRM seleccionados con aplicaciones instaladas en los centros de contacto del cliente, interactúan solo con las aplicaciones de la lista blanca de usuarios especificadas en la configuración de la extensión.
Mozilla expulsó otras seis extensiones por la misma razón. También se detectó otra extensión cargando contenido remoto en una página de nueva pestaña. Las políticas que prohíben el código y el contenido remotos están diseñadas para aumentar la transparencia y reducir el riesgo de que las extensiones se comporten de formas que puedan ser dañinas.
Mozilla expulsó otras 30 extensiones por «violar las políticas de complementos de Mozilla al mostrar un comportamiento malicioso en sitios web de terceros». Aún más extensiones (aquí, aquí, aquí, aquí y aquí) obtuvieron el arranque para recopilar datos de usuario. Se eliminó otro lote por recopilar términos de búsqueda o interceptar búsquedas que se dirigían a un proveedor de búsqueda externo.
El motor de búsqueda también prohibió las extensiones aquí, aquí y aquí por usar código ofuscado. Al igual que la prohibición de la carga de código o contenido remoto, la política contra el código ofuscado tiene como objetivo reducir las posibilidades de que las extensiones lleven a cabo un comportamiento dañino de forma encubierta.
La expulsión de las extensiones de Firefox fue reportada por primera vez por ZDNet.
Mientras tanto, Google dijo el viernes pasado que había «detectado un aumento significativo en la cantidad de transacciones fraudulentas que involucran extensiones de Chrome pagas que tienen como objetivo explotar a los usuarios». La «escala del abuso», decía la publicación del viernes, ha llevado a Google a prohibir temporalmente las extensiones basadas en tarifas de publicación. La medida tiene como objetivo frenar la afluencia a medida que los ingenieros buscan soluciones a más largo plazo que controlen el patrón más amplio de abuso.
Un hilo que acompañaba al anuncio mostraba a varios desarrolladores informando sobre desmantelamientos recientes de sus extensiones.
«He escrito varias veces respondiendo a la carta de rechazo sobre dos de mis extensiones pagas que existieron en la Tienda durante más de un año», escribió un desarrollador. «No he recibido ninguna respuesta y las extensiones aún están en estado Pendiente de revisión».
Las extensiones pagas son aquellas que cobran tarifas por adelantado, cobran por suscripciones o permiten compras de aplicaciones. El anuncio del viernes pasado no describía los detalles específicos de las transacciones fraudulentas. Si bien el aumento en el abuso es significativo, las aplicaciones pagas representan una pequeña porción de las extensiones disponibles en Chrome Web Store. Según un informe de Extension Monitor de agosto pasado, solo alrededor del 9 por ciento de las extensiones se basaron en tarifas.
Las medidas enérgicas resaltan un problema que ha existido durante años con las extensiones disponibles tanto de Mozilla como de Google. Si bien la gran mayoría son seguros, una muestra pequeña pero estadísticamente significativa participa en fraudes de clics, roba credenciales de usuarios e instala mineros de divisas y espía a los usuarios finales; en al menos un caso, millones de usuarios, algunos de los cuales estaban dentro de grandes empresas y otras redes sensibles a los datos.
No existe una forma segura de saber si una extensión es segura. Una regla general es que hay seguridad en los números. Es probable que una aplicación con millones de instalaciones reciba un mayor escrutinio por parte de los investigadores que una con solo unos pocos miles. Otra pauta: es menos probable que las aplicaciones de desarrolladores conocidos se involucren en comportamientos maliciosos o abusivos. La mejor regla es instalar extensiones solo cuando realmente proporcionen valor. Las extensiones instaladas que se usan rara vez o nunca se deben eliminar siempre.
Imagen del listado por Arturo Martinez / Flickr
