Google tiene un plan para hacer más segura la instalación de extensiones en Chrome, pero no es suficiente
Google ha anunciado en el blog de Chromium que planea proteger mejor a los usuarios de Chrome a la hora de instalar extensiones. La idea tiene que ver con prevenir el abuso del sistema para instalar extensiones fuera de la Chrome Web Store, es decir usando las instalaciones inline.
Desde el 2012 Chrome no permite instalar extensiones en el navegador que no estén subidas a la tienda oficial del navegador, pero con el sistema inline es posible para un desarrollador ofrecer la instalación desde su sitio web a través de un flujo que llama a la extensión que está en la Chrome Web Store. Sin embargo, es posible abusar de ese sistema y es aquí donde Google está enfocando sus esfuerzos.
La empresa ha dicho que menos del 3% de las extensiones aún abusan de flujos confusos o engañosos para aprovecharse de los usuarios, pero que esas extensiones generan 90% más quejas que el promedio en la Chrome Web Store.
Así que, a partir de las próximas semanas van a expandir las protecciones para reducir el daño a los usuarios a través de este sistema. También usarán machine learning para evaluar las instalaciones en búsqueda de señales de sitios web o anuncios maliciosos, engañosos o confusos.
Si este tipo de instalaciones generan 90% más quejas de parte de los usuarios que el promedio, sería también bueno conocer la cantidad de quejas que generan las instalaciones de extensiones maliciosas que viven felizmente en la Chrome Web Store.
La Chrome Web Store tiene otros problemas quizás tan o más urgentes que resolver, como su sistema de vetado. En la tienda oficial de extensiones de Google Chrome podemos encontrar desde clones fraudulentos de extensiones populares, a extensiones que pueden convertirse en adware sin que lo sepas, pasando por extensiones que venden nuestros datos al mejor postor, hasta llegar a las extensiones que nos usan sin nuestro permiso para minar criptomonedas.
Todos esos tipos de plugins maliciosos han pasado por la Chrome Web Store aparentemente cumpliendo todos los requisitos para ser publicados por Google en su tienda, y han sido instalados no cientos, sino miles y millones de veces por los usuarios.
Han permanecido en la tienda por días después de múltiples reportes y han afectado montones de usuarios en todo el mundo, y lo siguen haciendo.
Apenas hace una semana hablamos del caso de Archive Poster una extensión que llevaba semanas intentando minar criptomonedas con el CPU de sus más de 100.000 usuarios y permanecía perfectamente feliz en la Chrome Web Store, nada de abuso de instalaciones inline.
Solo fue eliminada luego de aparecer en titulares en múltiples medios y hacer ruido, a pesar de haber sido reportada múltiples veces por usuarios de la Chrome Web Store mucho antes.
El porcentaje de extensiones maliciosas en Chrome es de aproximadamente el 10% de toda la tienda, unas 40.000 extensiones sospechosas en 2015 según los hallazgos de un investigador.
Google Chrome es el navegador más usado en todo el mundo, en el escritorio alcanza casi el 60% de la cuota de mercado si promedias entre datos de diferentes fuentes como NetMarketShare o StatCounter.
Su tienda de extensiones es el lugar primario donde los usuarios buscan instalas los complementos del navegador, y lo hacen confiando en que Google se ha encargado de filtrar los plugins y no está ofreciendo bajo su marca productos que con fines maliciosos. Pero, la realidad es que sí lo hacen.
Google necesitas arreglar la Chrome Web Store, y hacerlo para ayer.