Las personas que supervisan la seguridad del navegador Chrome de Google prohibir explícitamente que los desarrolladores de extensiones de terceros intenten manipular cómo se presentan las extensiones del navegador que envían en el Tienda web de Chrome. La política señala específicamente técnicas de manipulación de búsquedas, como enumerar múltiples extensiones que brindan la misma experiencia o enlucir descripciones de extensiones con palabras clave poco relacionadas o no relacionadas.
El miércoles, el investigador de seguridad y privacidad Wladimir Palant reveló que los desarrolladores están violando flagrantemente esos términos en cientos de extensiones actualmente disponibles para descargar desde Google. Como resultado, las búsquedas de un término o términos en particular pueden devolver extensiones que no están relacionadas, imitaciones inferiores o llevar a cabo tareas abusivas como monetizar subrepticiamente búsquedas web, algo que Google prohíbe expresamente.
¿Sin mirar? ¿No te importa? ¿Ambos?
Una búsqueda el miércoles por la mañana en California de Norton Password Manager, por ejemplo, arrojó no solo la extensión oficial sino otras tres, todas las cuales no están relacionadas en el mejor de los casos y, en el peor, son potencialmente abusivas. Los resultados pueden verse diferentes para búsquedas en otros momentos o desde diferentes ubicaciones.
Resultados de búsqueda de Norton Password Manager.
No está claro por qué alguien que usa un administrador de contraseñas estaría interesado en falsificar su zona horaria o aumentar el volumen del audio. Sí, todas son extensiones para modificar o ampliar la experiencia de navegación de Chrome, pero ¿no lo son todas las extensiones? Chrome Web Store no quiere que los usuarios de extensiones queden encasillados o que vean la lista de ofertas como limitada, por lo que no devuelve simplemente el título buscado. En cambio, extrae inferencias de descripciones de otras extensiones en un intento de promover aquellas que también pueden ser de interés.
En muchos casos, los desarrolladores están explotando el entusiasmo de Google por promover extensiones potencialmente relacionadas en campañas que imponen ofertas que son irrelevantes o abusivas. Pero espere, el personal de seguridad de Chrome ha advertido a los desarrolladores que no pueden participar en spam de palabras clave y otras técnicas de manipulación de búsquedas. Entonces, ¿cómo está pasando esto?
