Chrome arrasa en cuota de mercado de navegadores web de escritorio. Volvió a ganar usuarios en diciembre cerrando el año con la cifra de cuota de mercado más alta de su historia, un 67,18% según los datos de NetMarketShare.

La firma de seguridad Duo Labs analizó 120.000 piezas de software para Chrome en el proceso de creación de una herramienta gratuita que analiza las extensiones del navegador y produce informes de seguridad. Los resultados son inquietantes:

  • El 35% de las aplicaciones y extensiones de Chrome pueden leer datos en cualquier sitio que visites.
  • Casi el 32% usa bibliotecas de terceros con vulnerabilidades conocidas.
  • El 77% de ellas no tiene un sitio de soporte.
  • El 85% de ellas carecen de política de privacidad, lo que significa que los desarrolladores pueden manejar tus datos como estimen oportuno.

Como señala Duo en una publicación del blog, los usuarios a menudo otorgan permisos a las extensiones sin mucha consideración, y por muy bien intencionados que sean esos permisos, no sirven de nada si un tercero malintencionado compra o extiende una extensión.

El pasado octubre, los desarrolladores de extensiones de Chrome fueron objeto de un ataque masivo de phishing en el que los piratas informáticos intentaron acceder a las credenciales de inicio de sesión para las cuentas de desarrollo de Google.

Dado que los permisos por sí solos no proporcionan una imagen completa de las propiedades de seguridad de una extensión, Duo está promocionando su herramienta ya que crea una lista de los sitios a los que cada código de extensión probablemente realiza solicitudes externas; analiza las bibliotecas de JavaScript de terceros en busca de vulnerabilidades y analiza el contenido de la política de seguridad de cada (si la tiene).

Cuidado con las extensiones de Chrome

Google anunció la llegada de las extensiones de Chrome hace casi una década y desde entonces se han vuelto inmensamente populares como un complemento que amplía las funcionalidades del navegador. Chrome cuenta hoy con más de 180.000, la mayoría almacenadas en la tienda Chrome Web Store.

Si algunas de ellas son -casi- imprescindibles para muchos usuarios al ampliar el potencial del navegador, aumentar sus características o permitir distintas personalizaciones, no todo es positivo en estas pequeñas piezas de software. Dependiendo de su número y características pueden afectar al rendimiento y también a la seguridad, porque las extensiones son una vía de entrada preferente para el malware.

Google ha intentado atajarlo de varias maneras y hace unos meses anunció el bloqueo de las instaladas desde sitios de terceros permitiendo únicamente las instaladas desde la tienda oficial, además de añadir cambios adicionales en el proceso de revisión de extensiones, controles de usuario para permisos de host, nuevos requisitos de legibilidad del código o la verificación en dos pasos.

Sin embargo, los datos de Duo muestran que todavía hay mucho trabajo por hacer. Como recomendación, evita el uso de extensiones de Chrome que no pertenezcan a desarrolladores reconocidos y de buena reputación o al menos, verifica primero sus políticas de seguridad.

Para proporcionar información útil sobre las extensiones de Chrome, Duo Labs anunció la versión beta pública de CRXcavator, un servicio gratuito que analiza las extensiones de Chrome y produce informes de seguridad completos.

Fuente: Muy Seguridad

Compartir