Folosirea tacticilor manipulative pentru a împinge extensii
Preluarea editorului: Magazinul web Chrome oferă dezvoltatorilor de extensii numeroase instrumente pentru a-și publica și promova creațiile. Cu toate acestea, ceea ce nu ar trebui să permită este utilizarea greșită a acestor instrumente pentru a oferi autorilor tactici manipulative care împing extensiile în contexte neașteptate sau neadecvate.
În ciuda tranziției forțate la Manifest V3, extensiile Chrome rămân la fel de periculoase și rău intenționate ca întotdeauna. Dezvoltatorii necinstiți își pot deghiza creațiile ca extensii legitime care folosesc încă tehnologia Manifest V2 mai veche sau pot exploata sistemul de traducere al Magazinului web Chrome pentru a apărea în rezultatele căutării fără legătură de către utilizatorii Chrome.
Această ultimă tactică a fost descoperită recent de cercetătorul de securitate Wladimir Palant, care a detaliat descoperirile sale într-o postare revelatoare. În timp ce căuta extensia „Norton Password Manager” în Magazinul web Chrome, Palant a întâlnit numeroase rezultate aparent fără legătură. În urma investigației, el a descoperit o campanie inteligentă de manipulare care împingea în mod activ utilizatorii să instaleze cod de calitate scăzută sau chiar rău intenționat.
Problema principală identificată de Palant constă în modul în care Magazinul web Chrome gestionează traducerile și metadatele aferente. Politicile oficiale ale Magazinului web Chrome interzic în mod explicit manipularea rezultatelor căutării, dar sute de extensii încalcă în mod flagrant aceste reguli pentru a asigura vizibilitatea și promovarea nemeritate.
Unii dezvoltatori au descoperit că indexul de căutare a Magazinului web Chrome este partajat în toate limbile, potrivit Palant. Acest lucru le permite să „sacrifice” descrierile în limbi mai puțin populare prin încorporarea lor cu text cu cuvinte cheie. Atunci când utilizatorii caută în CWS, aceste cuvinte cheie măresc vizibilitatea extensiilor rău intenționate, chiar dacă extensiile sunt programate să îndeplinească funcții complet care nu au legătură.
Palant a identificat 920 de extensii Chrome care exploatează această tehnică rău intenționată pentru a manipula rezultatele căutării CWS. Aceste extensii pot fi urmărite până la câteva „clustere”, sugerând că probabil au fost create de un grup mic de dezvoltatori familiarizați cu trucul de manipulare a căutării.
Cercetătorul a raportat această problemă la Google, subliniind ceea ce pare a fi un efort coordonat de a manipula sistemul de căutare a Magazinului web Chrome. Palant a remarcat că Google a fost deja alertat cu privire la practicile de spam de cuvinte cheie în urmă cu peste un an, dar extensiile problematice rămân active. Fie Google nu caută, fie nu le pasă deloc, a spus Palant.