La llegada de Chrome Web Store representa una forma sencilla de personalizar Chrome, por medio de la búsqueda e instalación con pocosclics de aplicaciones, extensiones y temas para el navegador. Sin embargo, un investigador descubrió un problema de seguridadrelacionado a una cuestión que afecta a varias plataformas: los permisos otorgados a lasapps.
Cada vez que realizamos una descarga, un cuadro amarillo nos indica a qué datos tendrá acceso el producto elegido, que pueden llegar a posibilidades tan amplias como acceder a toda la información del ordenador. El inconveniente es que a estos parámetros los establece el desarrollador.
El experto en seguridad David Rogers confirmó esta deficiencia instalando las versiones no oficiales de Super Mario 1 y 2, que solicitan autorización para leer nuestro historial de navegación, los marcadores y los datos de cualquier sitio por el cual navegamos con anterioridad. Demasiado para un simple juego, ¿no?
Con sólo aceptar la instalación estamos permitiendo, por ejemplo, que la aplicación utilice las cookies almacenadas para iniciar sesión en determinadaswebs. Según el propio Google, esto puede incluir el perfil en Facebook, el buzón de correo electrónico y hasta los servicios en línea de nuestro banco (si su seguridad es bastante pobre, claro está).
Este es un problema por el cual ya pasó Facebook, que otorgaba amplios permisos al pulsar solamente un botón, incluso a aplicaciones que no necesitaban ninguno. La controversia que generó, llevó a introducir controles más granulares, algo en lo que hoy también trabaja Twitter.
Pero la historia no termina aquí, porque Rogers también critica que Google no efectúa una revisión previa de los ítems que aparecen en la tienda. Aunque eso evita la censura y todo tipo de suspicacias, lo cierto es que basarse en los reclamos que aportan los usuarios, suena a poco. Especialmente, si tenemos en cuenta que la extensión pasó meses en la Web Store hasta que finalmente fue retirada.
Ahora queda por resolver la cuestión de fondo: para el investigador, basta con mostrar cuadros de diálogo cuando sea necesario un permiso o implementar unframework para establecer ciertas políticas. Es decir, que cada usuario decida previamente el nivel máximo de información que desea revelar, imitando a los controles parentales. Pero mientras tanto, la única solución es apelar al sentido común, cada vez que una aplicación quiera saber demasiado
No hay comentarios:
Publicar un comentario