.
Entrevista Nos últimos nove anos, Oleg Anashkin, um desenvolvedor de software com sede em San Jose, Califórnia, recebeu mais de 130 solicitações para monetizar sua extensão do navegador Chrome, Hover Zoom+.
A mais recente dessas propostas, que geralmente envolve a adição de código de um parceiro terceirizado que coleta dados ou coloca anúncios, chegou por e-mail na quarta-feira.
“Oferecemos uma parceria na qual você pode obter receita passiva sem nenhum risco de relações públicas”, dizia a mensagem.
“Nosso foco é a privacidade do usuário e buscamos apenas dados 100% anônimos. Se você estiver interessado em gerar receita adicional (até US$ 20.000 por mês) com dados livres de PII, ficarei feliz em agendar uma ligação para compartilhar os detalhes.”
Os detalhes dessas propostas variam, explicou Anashkin em um e-mail para Strong The One. Mas ele recusou todos eles.
Isso é uma boa notícia para os fãs do Hover Zoom+. Para aqueles que usam extensões que são vendidas para pessoas sem escrúpulos, porém, pode ser uma notícia muito ruim: esses usuários provavelmente nem perceberão que seu complemento favorito foi atualizado silenciosamente para coletar informações de sua navegação, ganhar dinheiro com cliques em links através de programas afiliados, ou pior.
Aqueles que desejam comprá-lo imediatamente o encherão de malware, dependendo do nível de ganância
“Os atores que estão me pedindo para adicionar algum código de rastreamento estão mais interessados em revender os dados dos usuários”, disse Anashkin. “Atores que desejam comprá-lo imediatamente o encherão de malware, dependendo de seu nível de ganância: sequestrar links de afiliados, adulterar resultados de pesquisa, exibir pop-ups com sites obscuros etc.”
Anashkin, que começou documentando essas solicitações no GitHub há dois anos, explicou na época: “A principal razão pela qual continuo mantendo essa extensão é porque dificilmente posso confiar que outras pessoas não cairão em uma dessas ofertas.
“Tenho a sorte de ter um emprego que paga bem o suficiente para me permitir manter minha bússola moral e ignorar todas essas proposições. Percebo que nem todos têm a mesma segurança financeira, então espero que este tópico lance alguma luz sobre que tipo de pressão é colocada sobre os desenvolvedores de extensão.”
De fato, em 2014, Anashkin bifurcou o Hover Zoom original, uma extensão para ampliar imagens, porque o desenvolvedor transferiu a propriedade e quem assumiu o controle da base de código virou para a coleta de dados. Esse complemento original foi removido da loja do Chrome.
“Muitos anos atrás, havia uma extensão do Chrome chamada simplesmente Hover Zoom”, disse Anashkin. “Eu estava usando até 2013, quando foi vendido para um desses maus atores e tinha malware adicionado a ele. Então eu decidi para forçá-lo e remova todos os malwares, análises, etc.”
Ele acrescentou: “A extensão original parou de receber atualizações (obviamente) e acabou sendo banida e removida da Chrome Web Store”.
De acordo com o pesquisador de segurança Sam Jadali Relatório DataSpii 2019essa remoção ocorreu por volta de 19 de novembro de 2015 – o que significa que a extensão operou em seu formulário de captura de dados por pelo menos dois anos.
Atrações e curas
A experiência de Anashkin parece ser bastante comum. Os desenvolvedores têm discutido essas solicitações em fóruns on-line e vários escreveram postagens de blog sobre vendendo extensões ou ofertas de parceria.
O Google não respondeu imediatamente a um pedido de comentário.
Questionado sobre o que poderia ser feito para melhorar a situação, Anashkin deu várias sugestões.
“A Chrome Web Store está exigindo que eu (o autor da extensão) justifique o propósito de cada permissão que minha extensão usa, mas não vejo isso exposto em nenhum lugar para os usuários finais”, disse ele. “Tornar essas informações visíveis ajudaria os usuários a ficarem mais bem informados antes de instalar novas extensões.”
E quando as extensões são vendidas ou mudam os detalhes de contato do desenvolvedor, ele sugeriu, a Chrome Web Store deve incluir um aviso proeminente do tipo “Cuidado! Novos proprietários”. E quaisquer alterações de permissão, disse ele, devem desencadear uma nova revisão do código-fonte da extensão.
Anashkin disse suspeitar que a maioria das extensões “monetizadas” usam o mesmo conjunto de bibliotecas para coletar dados do usuário. “A Chrome Web Store está em posição de identificar esses trechos de código e divulgá-los na página da extensão, semelhante à forma como os aplicativos Android agora mostram ‘Contém anúncios’”, disse ele.
E para extensões de código aberto, disse Anashkin, a loja deve verificar se o código de extensão carregado e o código-fonte publicado correspondem. “A Mozilla já está fazendo isso [for Firefox add-ons]embora não sem alguns soluços,” ele disse.
Simeon Vincent, que anteriormente atuou como defensor do desenvolvedor na equipe de extensão do Chrome do Google, contado Strong The One em junho que ele estava otimista com as mudanças arquitetônicas e políticas que acompanham o Manifest v3, a revisão da plataforma de extensão do Chrome que está em andamento há vários anos.
Anashkin concordou que pode ajudar, mas disse que não resolveria todos os problemas.
“O Manifest V3 tornará impossível baixar e executar código arbitrário para ajudar com alguns tipos de malware, mas não fará muito para extensões que têm acesso em tempo integral a todas as páginas (como bloqueadores de anúncios, Grammarly ou Hover Zoom+ ),” ele disse. “Tais extensões ainda poderão analisar e modificar o conteúdo da página e conversar com seus servidores para coletar dados dos usuários”.
Manifest V3 … ajudaria com alguns tipos de malware, mas não faria muito para extensões que têm acesso em tempo integral a todas as páginas
Dele Passe o zoom +notamos, tem mais de 300.000 usuários.
Questionado sobre se os regulamentos que tornam esses acordos de “parceria” mais difíceis ou que incentivam os desenvolvedores a se comprometerem a agir no melhor interesse dos usuários de extensão – nos moldes de um fiduciário no setor financeiro – podem ser úteis, Anashkin estava cético.
“Isso soa como um exagero para fornecer um serviço gratuito aos usuários”, disse ele, abordando um tema comum entre aqueles que mantêm projetos de código aberto com esforço considerável, mas sem remuneração.
“Assumir uma responsabilidade legal sem ao menos ser pago? Eu teria que desligar meu ramal se fosse o caso.
“Também não é difícil imaginar que a situação atrairia chantagistas que ameaçariam processar com base na violação do regulamento, se eu não concordasse em vender a extensão. o conflito.” ®
.
