Si una extensión de Chrome está instalada pero apagada, ¿aún puede espiarme?

50

Digamos que una extensión de Chrome está desactivada y tiene los permisos: "Leer y cambiar todos sus datos en los sitios web que visita" y "Leer su historial de navegación" u otros permisos de seguimiento similares.

¿Estas extensiones de Chrome pueden acceder a estos permisos o espiarlo de otras maneras, incluso si están desactivadas?

Supongamos que debe mantener estas extensiones desactivadas, pero luego las activó durante 5 segundos o hasta 10 minutos. ¿Es posible que puedan cargar todo su historial de navegación a los desarrolladores en ese corto período de tiempo si pueden "Leer su historial de navegación"?

Esta pregunta también se aplica a los navegadores como Firefox.

google-chrome permissions google-chrome-extensions browser-addons privacy Michael d
fuente
44
La pregunta es, ¿podría una extensión modificar un navegador de tal manera que podría hacer que el botón de apagado básicamente no hiciera nada (solo 'aparecer apagado') o volver a encenderse en una etapa posterior? Si la respuesta es sí, entonces la respuesta a lo anterior también es sí. (Dejaré si es posible para aquellos que tienen más conocimiento que yo).
SSight3
66
@ SSight3 Las extensiones no pueden ejecutarse en la página de extensiones chrome: // hasta donde yo sé, por lo que no es posible que una extensión falsifique el estado de la palanca activada / desactivada.
Josh
2
El uso diario de Google (Facebook, Twitter, lo que sea) tiene muchas más oportunidades para la recopilación de información que algunas extensiones nuevas de Chrome. No es que el autor detrás de esa extensión no podría tener ambiciones grandiosas, pero ...
can-ned_food
44
No marque una pregunta como respondida y un día después como sin respuesta y edítela para hacer una nueva pregunta. Si cambia de opinión acerca de la pregunta, realmente debería hacer una nueva pregunta por separado, una vez que haya aceptado una respuesta.
LPChip
2
@ can-ned_food Vale la pena señalar si el temor es la minería de datos, MITM se puede implementar desde cualquier lugar (sniffer HTTP, CA poco fiable, DNS incorrecto, punto de acceso Wifi malicioso, enrutador retroactivo, etc.) y si la preocupación de una persona en un navegador creado por una compañía infame por la minería de datos, ¿se están filtrando mis extensiones? Sospecho firmemente que podrían estar pasando por alto problemas mucho más grandes.
SSight3

Respuestas:

58

Cuando una extensión está desactivada, no se carga en la memoria y, como tal, no puede hacer nada.

Cuando activa una extensión, tiene acceso a todo el historial de su navegador, y si una extensión lo desea, puede enviar todo su historial al servidor.

Depende de la extensión si realmente lo hará. Las extensiones de tipo de spyware lo harán, las extensiones que están destinadas a ayudarlo generalmente solo enviarán un sitio web en el que está navegando actualmente, pero si una extensión lo hará o no es pura especulación.

Si desea estar seguro y no quiere permitir que una extensión transmita sus datos a su servidor, no lo active nunca.

LPChip
fuente
2
@wjandrea Se es posible leer el código fuente de cromo extensiones ( .crxpaquetes).
rahuldottech
77
@DavidMulder Para ser pedante, Firefox copió principalmente el sistema de extensión de Chrome porque era más simple : estaban reescribiendo una gran parte de su base de código, y las API de extensión existentes estaban estrechamente vinculadas con las partes internas tan difíciles de seguir trabajando. Obligar a que se reescriba cada extensión les facilitó la vida, y la esperanza es que no lo necesiten nuevamente, ya que la nueva API es más restrictiva y está más separada de la implementación interna. El modelo de permiso es una buena ventaja, pero dado que la mayoría de las extensiones necesitan acceso al DOM de cada página que ve, no impide mucho.
IMSoP
2
@DavidMulder: Estás asumiendo que está bien que Google tenga todos tus datos en primer lugar.
Eric Duminil
44
@DavidMulder No sabemos qué está haciendo Chrome porque no podemos ver el código. Decir que Chrome "de ninguna manera da sus datos a Google" es evidentemente falso; Al escribir una URL en la barra de direcciones, medí el tráfico hacia y desde los servidores de Google antes de presionar Enter.
wizzwizz4
2
@ wizzwizz4 Vale la pena señalar que SRWare Iron (una versión de Chrome centrada en la privacidad) detalla algunas ... características preocupantes de Chrome.
SSight3