Se uma extensão do Chrome estiver instalada, mas desativada, ela ainda pode me espionar?

50

Digamos que uma extensão do Chrome esteja desativada e tenha as permissões: "Leia e altere todos os seus dados nos sites visitados" e "Leia seu histórico de navegação" ou outras permissões de rastreamento semelhantes.

Essas extensões do Chrome ainda podem acessar essas permissões ou espioná-lo de outras maneiras, mesmo se estiverem desativadas?

Digamos que você deveria manter essas extensões desativadas, mas depois as ativou por 5 segundos ou por 10 minutos. É possível que eles possam enviar todo o seu histórico de navegação para os desenvolvedores nesse curto espaço de tempo se eles puderem "Ler seu histórico de navegação"?

Esta pergunta também vale para navegadores como o Firefox.

google-chrome permissions google-chrome-extensions browser-addons privacy Michael d
fonte
4
A pergunta é: uma extensão poderia modificar um navegador de tal maneira que pudesse fazer com que o botão de desligar não fizesse basicamente nada (apenas 'apareça') ou se ligue novamente mais tarde? Se a resposta para sim, então a resposta para o acima também é sim. (Vou deixar se é possível para aqueles com mais conhecimento do que eu).
SSight3
6
@ SSight3 As extensões não podem ser executadas na página chrome: // extensions, tanto quanto eu sei, portanto, não é possível que uma extensão falsifique o estado da alternância ativada / desativada.
21418 Josh
2
O uso diário do Google - Facebook, Twitter, qualquer que seja - tem muito mais oportunidades de coleta de informações do que uma extensão do Chrome inicial. Não que o autor por trás dessa extensão não possa ter ambições grandiosas, mas ...
can-ned_food 15/05
4
Não marque uma pergunta como respondida e, um dia depois, como sem resposta, e edite-a para fazer uma nova pergunta. Se você mudar de idéia sobre a pergunta, realmente deve fazer uma nova pergunta separada, depois de aceitar uma resposta.
LPChip 15/05/19
2
@ can-ned_food Vale a pena notar se o medo é de datamining, o MITM pode ser implantado de qualquer lugar (sniffer HTTP, CA desonesta, DNS ruim, hotspot Wifi malicioso, roteador backdoor, etc.) e se a preocupação de uma pessoa em um navegador é feita por uma empresa famosa por datamining, 'minhas extensões estão vazando?' Eu suspeito fortemente que eles possam estar negligenciando questões muito maiores.
SSight3 15/05

Respostas:

58

Quando uma extensão é desativada, ela não é carregada na memória e, como tal, não pode fazer nada.

Quando você ativa uma extensão, ela tem acesso a todo o histórico do navegador e, se ela desejar, pode enviar todo o histórico para o servidor.

Depende da extensão, se realmente vai fazer isso. Extensões do tipo spyware serão, extensões destinadas a ajudá-lo a enviar apenas um site que você está navegando atualmente, mas se uma extensão irá ou não funcionar é pura especulação.

Se você quer estar seguro e não deseja permitir que uma extensão transmita seus dados para o servidor deles, nunca os ligue.

LPChip
fonte
2
@wjandrea Ele é possível ler o código fonte do Chrome extensões ( .crxpacotes).
Rahuldottech
7
@DavidMulder Para ser pedante, o Firefox copiou principalmente o sistema de extensão Chrome porque era mais simples - eles estavam reescrevendo grande parte de sua base de código, e as APIs de extensão existentes estavam intimamente ligadas aos internos, tão difíceis de continuar funcionando. Forçar a reescrita de todas as extensões tornou suas vidas mais fáceis, e a esperança é que elas não precisem novamente, pois a nova API é mais restritiva e mais separada da implementação interna. O modelo de permissão é um ótimo bônus, mas, como a maioria das extensões precisa acessar o DOM de todas as páginas exibidas, isso não impede muito.
IMSoP
2
@DavidMulder: Você está assumindo que está tudo bem que o Google tenha todos os seus dados em primeiro lugar.
Eric Duminil
4
@DavidMulder Não sabemos o que o Chrome está fazendo porque não podemos ver o código. Dizer que o Chrome "de forma alguma fornece seus dados ao Google" é claramente falso; ao digitar um URL na barra de endereços, medi o tráfego de e para os servidores do Google antes mesmo de pressionar Enter!
Wizzwizz4 15/05
2
@ wizzwizz4 Pode ser interessante notar que o SRWare Iron (uma versão do Chrome focada na privacidade) detalha alguns ... recursos preocupantes do Chrome.
SSight3 15/05