Este add-on de Firefox con 220.000 usuarios ha sido cazado recopilando el historial de navegación de sus usuarios
La extensión Web Security para Firefox ha sido cazada recolectando el historial de navegación de sus usuarios. Así lo ha descubierto Mike Kuketz, autor de la aplicación uBlock Origin y especialista en privacidad y seguridad. Según un artículo publicado en alemán, la extensión el manda un mensaje a un servidor alemán con cada página que un usuario carga en su navegador.
Se trata de una extensión que desde la propia Mozilla se había recomendado en su blog oficial en un artículo del que eliminaron después la referencia a ella. La extensión ha sido instalada por más de 220.000 usuarios del navegador, y su empresa responsable asegura que lo hacen todo para proteger a los usuarios.
Tal y como leemos en Bleeping Computer, todo empezó cuando la semana pasada Mozilla publicó en su blog una lista de extensiones para implementar la privacidad en su navegador. Este post se compartió en Reddit, donde este usuario alemán advirtió que había visto que la extensión enviaba un mensaje con datos confusos a una IP desconocida cada vez que el usuario cargaba una página.
Unos días después, el investigador publicó en su blog que había descubierto que esos datos que enviaba eran el historial completo de navegación del usuario. Los datos enviados incluyen una ID única para cada usuario y su patrón de navegación, registrando también de qué página a cuál otra navegan.
Ante la preocupación de los usuarios por este inesperado comportamiento del add-on, un portavoz de la empresa Creative Software Solutions responsable de él ha enviado el siguiente comunicado diciendo que el envío de datos a sus servidores es necesario para que el complemento funcione correctamente.
"El addon Web Security es, como su nombre lo indica, un complemento de seguridad que protege al usuario de sitios web abusivos para proteger sus datos y su privacidad. No queremos que los sitios rastreen y roben los datos de los usuarios o el historial de navegación. Uno de los aspectos de seguridad incluye la comprobación del sitio solicitado contra una lista negra mundial, por lo que la comunicación entre el cliente y nuestros servidores es inevitable, mientras lo mantenemos a un mínimo absoluto y no registramos esta comunicación. Nuestros servidores están todos en Alemania, por lo que también estamos obligados por GDPR y solo procesamos datos por las razones especificadas".
"Nuestro complemento también ha sido procesado por el estricto personal de Verificación de Mozilla, que ha aprobado específicamente todas las comunicaciones que se producen. Todos los datos transferidos deben comunicarse de forma segura, sin embargo, dado que tomamos muy en serio estas preocupaciones de privacidad, ya he informado a los desarrolladores para que investiguen el problema, para verificar y mejorar si es posible".
Como vemos, desde la empresa aseguran que si envían los datos de navegación de los usuarios es para cotejar las páginas que visitan utilizando una lista negra mundial. También dicen haber cumplido con todos los requisitos de verificación de Mozilla, aunque no queda del todo claro por qué la empresa del navegador eliminó la referencia inicial al add-on de su blog.
En cualquier caso, tampoco está claro el por qué registran de dónde a dónde navegan los usuarios o crean un perfil de cada uno utilizando una ID. Además, la misma empresa califica como un problema lo que está pasando. Por lo tanto, de momento tendremos que esperar a que Mozilla acabe pronunciándose para ver si las explicaciones de Creative Software Solutions son suficientes, o si por el contrario se toma alguna medida contra su extensión.