Critican el modelo de seguridad de Chrome Web Store

31 May

Chrome Web Store representa una forma sencilla de personalizar Chrome, por medio de la búsqueda e instalación con pocos clics de aplicaciones, extensiones y temas para el navegador. Sin embargo, un investigador descubrió un problema de seguridad relacionado a una cuestión que afecta a varias plataformas: los permisos otorgados a las apps.

Cada vez que realizamos una descarga, un cuadro amarillo nos indica a qué datos tendrá acceso el producto elegido, que pueden llegar a posibilidades tan amplias como acceder a toda la información del ordenador. El inconveniente es que a estos parámetros los establece el desarrollador.

El experto en seguridad David Rogers confirmó esta deficiencia instalando las versiones no oficiales de Super Mario 1 y 2, que solicitan autorización para leer nuestro historial de navegación, los marcadores y los datos de cualquier sitio por el cual navegamos con anterioridad. Demasiado para un simple juego, ¿no?

Con sólo aceptar la instalación estamos permitiendo, por ejemplo, que la aplicación utilice las cookies almacenadas parainiciar sesión en determinadas webs. Según el propio Google, esto puede incluir el perfil en Facebook, el buzón de correo electrónico y hasta los servicios en línea de nuestro banco (si su seguridad es bastante pobre, claro está).

Este es un problema por el cual ya pasó Facebook, que otorgaba amplios permisos al pulsar solamente un botón, incluso a aplicaciones que no necesitaban ninguno. La controversia que generó, llevó a introducir controles más granulares, algo en lo que hoy también trabaja Twitter.

Pero la historia no termina aquí, porque Rogers también critica que Google no efectúa una revisión previa de los ítems que aparecen en la tienda. Aunque eso evita la censura y todo tipo de suspicacias, lo cierto es que basarse en los reclamos que aportan los usuarios, suena a poco. Especialmente, si tenemos en cuenta que la extensión pasó meses en la Web Store hasta que finalmente fue retirada.

Ahora queda por resolver la cuestión de fondo: para el investigador, basta con mostrar cuadros de diálogo cuando sea necesario un permiso o implementar un framework para establecer ciertas políticas. Es decir, que cada usuario decida previamente el nivel máximo de información que desea revelar, imitando a los controles parentales.

 

GRACIAS POR LEERNOS SIGUENOS EN TWITTER:@B2BSUCOT

fuente:alt1040

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: