Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/06/2011
Dubtosa política de permisos en Chrome Web Store
L'especialista en la indústria de mòbils David Rogers, ha expressat la seua preocupació per la política de permisos de certs jocs de la botiga d'aplicacions per al navegador Google Chrome.
En concret s'analitzen els permisos que requereix la instal·lació d'una aplicació per a un joc Flash (Súper Mario 2). El joc declara que necessita els permisos d'accés a dades en tots els llocs web, l'historial de navegació de l'usuari i l'accés als marcadors personals.
¿Per a què necessita un simple joc, que no aporta cap funcionalitat addicional, aquestes dades tan personals? Tot seguit veurem dos d'aquests permisos, segons apareixen explicats en la pàgina de la botiga de Google.
- Accés a dades en tots els llocs web: implica que l'aplicació pot llegir tots els llocs a què accedeix l'usuari, des de la seua Facebook o correu web (webmail) fins a la pàgina del banc. A tot açò, Google alerta que cal pensar que l'aplicació posseeix la llibertat d'utilitzar les cookies per a fer peticions als dits llocs. Pareix que aquesta funcionalitat és prou utilitzada (segons Google) amb l'objectiu de monitoritzar aquestes pàgines a l'estil d'un feed RSS.
- Accés als marcadors: no sols implica que l'aplicació puga veure els marcadors que es tenen instal·lats en Chrome, sinó que pot afegir-ne de nous i modificar els ja existents.
- Accés a l'historial de navegació. Que no necessita explicació.
Encara que s'avise l'usuari de quins permisos requerirà el joc o programa en Chrome i haja d'aprovar-ho explícitament, un dels problemes més greus és que és el programador el que decideix quines opcions tindrà el seu programa –sense que Google revise les aplicacions– llevat que hi haja alguna queixa per part dels usuaris. Les úniques aplicacions revisades abans de la seua publicació seran aquelles que requerisquen el permís més potent: accés a les dades de l'ordinador (açò és, si utilitza el connectorNPAPI).
David Rogers proposa un mètode alternatiu per a la gestió dels permisos en Chrome, que funcionaria com a un tallafocs (firewall), amb unes polítiques que podrien vindre ja predefinides o ser gestionades pels propis usuaris, en cas de voler un control més personalitzat.