Al instalar cualquier complemento en Chrome, se necesita un conjunto de permisos para ser otorgado al complemento. Muchos complementos (incluidos los populares como Pocket y Adblock) tienen Read and change all the data on the site .
¿Esto no significa que, en teoría, el complemento puede hacer lo que quiera en el navegador, incluido el espionaje y posiblemente trabajar como keylogger (en el navegador)?
No todas, pero la mayoría de las extensiones (complementos) requieren un conjunto de permisos que deben declarar al archivo de manifiesto . El usuario no recibe una notificación de advertencia de seguridad a menos que la extensión se instale desde la extensión de archivo .crx . En este último u otros casos, un complemento que requiere los permisos del usuario para ejecutarse es una amenaza para la seguridad.
Existen extensiones similares que requieren permisos de usuario en otros navegadores y es realmente un problema crítico. Cada autor del navegador trata este problema de manera diferente. Por ejemplo, Mozilla requiere que dichas extensiones estén firmadas y enumeradas en Complementos Mozilla , donde se analizan los complementos regularmente Por la presencia de malware. Eso ayuda a prevenir pero no protege totalmente a los usuarios.
¿Piensa en qué es un JavaScript malicioso que se ejecuta con los permisos de tu usuario en el navegador? Puede ser el mejor escenario y el ejemplo que puedo proporcionarle es el notorio ZombieBrowserPack que es un proyecto de código abierto (complemento) desarrollado primero como < a href="https://en.wikipedia.org/wiki/Proof_of_concept"> POC por Zoltan Balazs , y se dirige a algunos de los navegadores más utilizados ( Chrome , Firefox e IE). Este complemento se puede manipular de forma remota para robar las credenciales de autenticación, e incluso omitir los mecanismos de autenticación de dos factores, como los implementados por Yahoo y Google. También puede secuestrar su cuenta de Facebook u obtener las credenciales de su cuenta bancaria si realiza una compra en línea. Puedes imaginar un plugin de este tipo destinado a cumplir con esta o aquella característica y hacer algo nefasto detrás en el fondo.
Como asumió correctamente, la instalación de complementos no implica ningún riesgo. Aunque Google revisa el código fuente de cualquier extensión antes de alojarlo en Chrome Web Store, el código malicioso aún se desliza ( enlace ).
Si la extensión es proporcionada por una empresa individual o pequeña, usted no sabe nada acerca de usted, por lo que es aconsejable que al menos le pregunte por qué necesitan ciertos niveles de acceso. Si la extensión es de código abierto y usted es un programador experimentado, es posible que desee realizar una revisión adicional del código antes de instalarlo.
Los permisos "Leer y cambiar todos los datos en el sitio" de hecho permiten inyectar JavaScript que reenvía cada pulsación de tecla a algún servidor remoto. Por otro lado, las extensiones como Adblock necesitan estos permisos para funcionar correctamente.
La pregunta es: ¿confía usted en Adblock (etc.) con este nivel de privilegios? (También se tiene en cuenta el hecho de que la extensión tiene el potencial de eliminar adiciones maliciosas)
En mi opinión, es básicamente una cuestión de confianza ...
Algunas excelentes respuestas relacionadas con security.se se encuentran aquí: Es Adblock ( ¿Más) un riesgo de seguridad?
Como dice Stef, es una cuestión de confianza y también de entender el riesgo.
Si codificas, probablemente te gustaría probar cosas como las extensiones de Chrome. Eso es totalmente legítimo.
Lo que sugeriría es separar su entorno de desarrollo de su entorno de producción. Dos navegadores separados: uno (digamos FF) para banca doméstica y fB y # 2 (digamos Chrome) para probar cosas interesantes y peligrosas.
Si es realmente cuidadoso, entonces configure una máquina virtual separada y haga las cosas interesantes y peligrosas allí, pero aún así, sepárela de su entorno de banca en casa / FB.
Lea otras preguntas en las etiquetas chrome browser-extensions