Se supone que la gran ventaja de las “tiendas de aplicaciones” respecto a la distribución descentralizada es que un gran ente puede controlar y asegurarse de que el código en cuestión no es nocivo y que hace lo que se supone que debe hacer. Es por eso que entrar en una de estas tiendas no es sencillo (si bien lo es en algunas mas que en otras), porque el programa tiene que pasar por una evaluación por parte del propietario de la tienda. Pero lo que hemos aprendido hoy es que la llamada Chrome Web Store está alojando código que podría catalogarse como “spyware”.

Hover Zoom, el enemigo de las imágenes pequeñas

hoverzoom-2

La protagonista es la extensión Hover Zoom, una de las mas descargadas desde que la tienda de Google abrió sus puertas, dedicada en un principio a alojar extensiones para el navegador Chrome pero que ya es una “tienda de apps” de pleno derecho. Se entiende su éxito porque es realmente útil en muchas situaciones; se encarga de alargar imágenes en miniatura que nos encontramos en la Web. Es muy simple, ya que lo único que hace es seguir el enlace de la miniatura y mostrar la imagen original en un recuadro cada vez que ponemos el ratón encima de ella.

Una sorpresa desagradable

Por eso es una sorpresa cuando nos encontramos código como el que se ha encontrado en la extensión. Este código carga Javascript en todas las páginas que accedemos, y rastrea datos de nuestra sesión, como el agente de usuario (el identificador del programa que estamos usando), y otros identificadores. El código javascript además puede capturar cualquier cosa que escribamos en un formulario, aunque por el momento no está claro qué cantidad de información se captura. Todos estos datos son mandados a servidores externos.

codigo

Hay que tener en cuenta que Hover Zoom anunció a principios de año un acuerdo con una compañía basada en el rastreo de datos de usuarios para crear perfiles de posibles clientes, y que en su menú de configuración hay una opción para desactivar este rastreo; pero todo indica que este rastreo es independiente del anunciado de manera oficial, ya que los servidores a los que va la información pertenecen a un tercero, y la opción de desactivado no parece afectarle.

Google es culpable en parte

Este es un caso que Google debería revisar con todos los ojos disponibles, porque afecta seriamente a la seguridad de su tienda de apps. Al contar con la aprobación de la compañía, los usuarios no esperan que los programas y extensiones instalados de esta manera contengan código malicioso; de hecho, si intentamos instalar una extensión en Chrome fuera de la tienda oficial recibimos un aviso de que podría contener malware o virus. Estaremos al tanto de las reacciones tanto de los desarrolladores de Hover Zoom como de la propia Google, pero por el momento la extensión está recibiendo críticas y puntuaciones negativas en su sección de la Chrome Web Store, y muchos usuarios están decidiendo eliminarla de su navegador hasta que se aclare la situación.

Fuente | reddit