Una actualización reciente de la popular extensión de Google Chrome Steam Inventory Helper agregó un componente de monitoreo a la extensión que monitorea la actividad de navegación.
Steam Inventory Helper es una popular extensión de Chrome para la plataforma de juegos Steam que mejora la gestión de inventario, el comercio, la compra y la venta. Es particularmente popular entre los jugadores de CounterStrike Global Offensive, pero también funciona con otros juegos de Steam que vienen con soporte de elementos virtuales.
El usuario de Reddit Wartab fue el primero en informar el monitoreo. Una publicación en el foro oficial de la Ofensiva Global CounterStrike en Reddit destaca lo que Steam Inventory Helper hace en segundo plano.
Básicamente, lo que hace Steam Inventory Helper es ejecutar código en cualquier carga de página, incluso en páginas internas como about: blank.
El código que introdujo la actualización supervisa lo siguiente:
- El referente (el sitio del que vino).
- La hora en que se cargó y salió del sitio.
- Cuando se mueve el mouse.
- Enfoque de entrada.
- Pulsaciones de teclas (pero no lo que se escribe).
Envía cualquier enlace en el que haga clic mientras la extensión está activa a un script de fondo. Este script supervisa las solicitudes HTTP que se realizan y envía un resumen de estas solicitudes a un servidor.
La conclusión es: están monitoreando los sitios que visita y pueden estar enviando gran parte de su actividad en línea a su propio servidor. Todavía no podía entender cuándo lo hacen, pero parece ser para cosas promocionales. Más importante aún, en el futuro, incluso si lo que hacen ahora es legítimo, no se le informará sobre ningún cambio en sus permisos, porque básicamente ya tiene todos los permisos que puede obtener a ese respecto.
La extensión del navegador para Chrome solicitó nuevos permisos durante la actualización, y así es como se detectó el cambio.
Steam Inventory Helper solicita "leer y cambiar todos sus datos en los sitios web que visita". Está claro que esto no es necesario para la tarea muy específica de administrar el inventario de Steam.
La buena noticia es que los usuarios deben aceptar el nuevo permiso antes de habilitar la extensión después de la actualización. Si no lo hacen, la extensión está deshabilitada y no supervisará la actividad de navegación.
La extensión altamente calificada recibió una parte justa de las calificaciones de una estrella por parte de los usuarios que notaron que solicitó nuevos permisos que se utilizan para monitorear a los usuarios.
Si está utilizando la extensión, se recomienda que la desinstale de inmediato, ya que es posible que no desee que todo su historial de navegación se transfiera a un servidor de terceros.
Palabras de clausura
Esta no es la primera vez que los scripts automáticos de Google dejan pasar el malware o el adware, y una de las razones por las que prefiero el sistema de Mozilla que examina cualquier actualización de extensión o nueva extensión antes de que se publique.
Consejo : Verifique las extensiones de Chrome antes de descargarlas.
