Si une extension Chrome est installée mais est désactivée, est-ce qu'elle peut toujours m'espionner?

50

Supposons qu'une extension Chrome soit désactivée et qu'elle dispose des autorisations suivantes: "Lire et modifier toutes vos données sur les sites Web que vous visitez" et "Lire l'historique de navigation", ou d'autres autorisations de suivi similaires.

Ces extensions Chrome peuvent-elles toujours accéder à ces autorisations ou vous espionner de différentes manières, même si elles sont désactivées?

Supposons que ces extensions soient désactivées, puis activées pendant 5 secondes ou jusqu'à 10 minutes. Est-il possible qu'ils puissent télécharger l'intégralité de votre historique de navigation aux développeurs en si peu de temps s'ils peuvent "Lire votre historique de navigation"?

Cette question s'adresse également aux navigateurs comme Firefox.

Michael d
la source
4
La question qui se pose est de savoir si une extension peut modifier un navigateur de manière à ce que le bouton de désactivation ne fasse fondamentalement rien (ou qu’elle ne «paraisse»), ou se réactive ultérieurement. Si la réponse est oui, la réponse à la question ci-dessus est également oui. (Je partirai s'il est possible pour ceux qui sont plus informés que moi).
SSight3
6
@ SSight3 Les extensions ne sont pas autorisées à s'exécuter sur la page chrome: // extensions pour autant que je sache, il est donc impossible pour une extension de simuler l'état de la bascule activé / désactivé.
Josh
2
L'utilisation quotidienne de Google - Facebook, Twitter, etc. - offre bien plus d'opportunités pour la collecte d'informations que certaines versions plus récentes de Chrome Extension. Non pas que l'auteur derrière cette extension ne puisse pas avoir d'ambitions grandioses, mais…
can-ned_food
4
Veuillez ne pas marquer une question comme ayant reçu une réponse et un jour plus tard comme étant sans réponse et la modifier pour poser une nouvelle question. Si vous changez d'avis à propos de la question, vous devriez vraiment poser une nouvelle question séparée, une fois que vous avez accepté une réponse.
LPChip
2
@ can-ned_food Il est intéressant de noter que si la peur est la datamining, MITM peut être déployé de n'importe où (renifleur HTTP, CA douteux, mauvais DNS, point d'accès Wi-Fi malveillant, routeur avec porte dérobée, etc.) et si l'inquiétude d'une personne sur un navigateur est faite par une entreprise tristement célèbre pour la datamining, est-ce que "mes extensions ont des fuites?" Je soupçonne fortement qu'ils pourraient ignorer des problèmes beaucoup plus importants.
SSight3

Réponses:

58

Lorsqu'un poste est désactivé, il n'est pas chargé en mémoire et ne peut donc rien faire.

Lorsque vous activez un poste, celui-ci a accès à l'historique complet de votre navigateur. Si un poste le souhaite, il peut soumettre tout votre historique au serveur.

Cela dépend de l'extension si cela va vraiment le faire. Les extensions de type logiciel espion seront, les extensions destinées à vous aider ne soumettront généralement qu'un site Web sur lequel vous naviguez actuellement, mais le fait qu'une extension le fasse ou non est purement spéculatif.

Si vous voulez être en sécurité et ne pas autoriser une extension à transmettre vos données à leur serveur, ne l'activez jamais.

LPChip
la source
2
@wjandrea Il est possible de lire le code source des extensions ( .crxpackages) de chrome .
Rahuldottech
7
@DavidMulder Pour être pédant, Firefox a principalement copié le système d'extension Chrome, car il était plus simple : ils réécrivaient une grande partie de leur code base, et les API d'extension existantes étaient étroitement liées aux éléments internes si difficiles à maintenir. Forcer chaque extension à être réécrite leur a facilité la vie, et l’espoir est qu’ils n’en auront plus besoin, car la nouvelle API est plus restrictive et plus séparée de l’implémentation interne. Le modèle d'autorisation est un bonus intéressant, mais étant donné que la plupart des extensions nécessitent un accès au DOM de chaque page affichée, cela n'empêche pas grand chose.
IMSoP
2
@ DavidMulder: Vous supposez que c'est bien que Google dispose de toutes vos données.
Eric Duminil
4
@DavidMulder Nous ne savons pas ce que fait Chrome car nous ne pouvons pas voir le code. Dire que Chrome "ne donne en aucun cas vos données à Google" est manifestement faux; Lors de la saisie d'une URL dans la barre d'adresse, j'ai mesuré le trafic vers et depuis les serveurs de Google avant même d'appuyer sur Entrée!
wizzwizz4
2
@ wizzwizz4 Il convient de noter que SRWare Iron (une version de Chrome axée sur la confidentialité) détaille certaines ... fonctionnalités troublantes de Chrome.
SSight3