¿Qué tan riesgoso son las extensiones de Chrome populares?

Estoy a punto de cambiar a Chromium e instalé un par de extensiones. Cada vez que instalé una extensión me notificaron a qué datos tiene acceso la extensión, por ejemplo:

Entiendo que el acceso a esos datos es necesario para que la extensión funcione, pero estoy un poco preocupado de que tal extensión algún día decida actualizar y robar ("teléfono a casa") todos mis datos de navegación.

Otro ejemplo de un mensaje aterrador (al habilitar extensiones para ventanas de incógnito):

Advertencia: Chromium no puede evitar que las extensiones graben su historial de navegación. Para deshabilitar esta extensión en modo incógnito, anule la selección de esta opción.

¿Es esa una posible amenaza al usar extensiones populares de Chrome? Da un poco de miedo tener que confiar en otra parte para cada nueva función que agregue al navegador.

Estás olvidando lo siguiente:

Cuanto más popular es una extensión, menor es la posibilidad de que nadie se dé cuenta de que el complemento hace algo dañino.

En contraste con eso, si instala alguna extensión que nadie más ha usado antes, se arriesga más que, digamos, instalar AdBlock. Teniendo en cuenta que tantas personas lo están usando, es casi seguro decir: Alguien habría notado un tráfico inusual.

De hecho, todas las extensiones revelan su código fuente, por lo que cualquiera podría seguir adelante y buscar cualquier cosa sospechosa.

Las advertencias están ahí, por lo que no puede culpar a los proveedores del navegador por los daños causados, en caso de que instale algo que no sea correcto con sus datos. Siempre lea las reseñas de complementos que le parezcan sospechosos antes de instalarlos.

También tenga en cuenta que, por ejemplo, Google puede verificar las presentaciones:

Si bien Google no está obligado a monitorear los Productos o su contenido, Google puede en cualquier momento revisar o probar sus Productos y su código fuente para verificar el cumplimiento de este Acuerdo, las Políticas del programa Google Chrome Web Store y cualquier otro término, obligación o ley aplicable. o regulaciones, y puede usar medios automatizados para llevar a cabo dicha revisión

La eliminación de una extensión puede, por supuesto, causar algunos problemas al desarrollador.

Intentar hacer una evaluación de riesgos difícil. La popularidad trae dos cosas:

• Más personas tratando de mejorarlo (detectando código incorrecto)
• Más personas tratando de hackearlo (e introducir un código incorrecto) para atacar una base de usuarios más grande

Supongamos que para estos ejemplos estamos hablando de un proyecto de código abierto con código alojado en algo como github.

Si algo tiene un desarrollador, es solo una persona que registra el código. Si alguien (no el desarrollador) quiere agregar código a eso, o bien deben engañar al desarrollador para que agregue un parche malicioso (sucede), o apuntar a la autenticación de ese desarrollador para que puedan agregar el código ellos mismos (también sucede). La posibilidad de que cualquiera de estos ocurra depende de la capacidad del desarrollador y su seguridad.

Si hay 10 desarrolladores, hay 10 veces más vectores de ataque. Pero también 10 veces más personas que podrían detectar el código.

Estoy seguro de que hay un punto en un proyecto donde gana suficiente impulso para que las personas realicen auditorías de seguridad periódicas en su código. Pero en cualquier momento antes de eso, son columpios y rotondas.

tl; dr Hay demasiado difícil de resolver de manera realista. Hay demasiados elementos humanos. Si es importante, no confíes en él a menos que puedas verificar el código tú mismo.