La semana pasada se publicó un plug-in para los navegadores Firefox y Chrome que permite ver la línea de tiempo (o novedades) de nuestro Facebook, integrada en la nueva red social Google+.

Poco después, un usuario del sitio Reddit, analizó la herramienta y descubrió que tiene bastantes lagunas de seguridad y que el plug-in accedía a contenido en servidores Web remotos ejecutando código allí alojado. Además, es publico que realiza algunas acciones sin solicitar intervención del usuario, como modificar la página de inicio o el buscador predeterminado del navegador Web. Todo ello, sin opción para el usuario y sin mostrar ningún aviso al respecto. En muchos circulos, esta extensión se ha considerado un malware y se recomienda no instalarlo hasta que se clarifique el tema.

Por otro lado, los desarrolladores de Crossrider han respondido al articulo publicado en Reedit (al final del mensaje tenéis tanto el análisis como la respuesta), indicando que todo se debe a un malentendido y que el análisis no es correcto.

Parece que algunas de las características potencialmente peligrosas han sido retiradas, pero mucha precaución si alguien se decide a instalar el plug-in. Pensad por qué el plug-in no se ha publicado en la página de Firefox destinada a las extensiones del navegador. Simplemente porque presenta algunos problemas que deben ser corregidos antes de ser admitida para su distribución.

En resumen, si podéis, esperad hasta que se clarifique todo.

Daniel
Enlace al artículo original en reddit y la respuesta de crossrider:
http://www.reddit.com/r/technology/comments/ikymu

Un análisis de Google+ a fondo:
http://www.danielnavarroymas.com/2011/06/google-plus-esta-vez-si
http://www.danielnavarroymas.com/2011/07/destacado-en-google-plus
http://www.danielnavarroymas.com/2011/07/lo-mas-destacado-en-google-parte-2

Es una opción tentadora para cualquiera de los nuevos usuarios de Google+: empezar a ver su antigua ‘pared’ de Facebook directamente desde la nueva red social de Google en lugar de esperar a que sus amigos y familiares se unan a  ella.

La herramienta que lo hace posible se llama Google+Facebook y los usuarios de Firefox o Chrome pueden instalarla como una extensión a su navegador de Internet.

Después de instalado el aditamento agrega a barra superior de Google+ un botón azul con una letra efe; quienes lo presionan ven un recuadro con sus mensajes de Facebook, y pueden hacer click en los vínculos de sus amigos.
Riesgo de cambio
Tras instalar Google+Facebook en su navegador: Mozilla Firefox, el usuario RogueDarkJedi del sitio de noticias sociales Reddit decidió abrir el código fuente de la herramienta para analizar cómo funciona.

Lo que descubrió lo dejó preocupado. Por un lado, el aditamento usa una estrategia que Mozzila desaprueba: descargar parte de su código de instrucciones desde Internet.

Esto significa que los desarrolladores de Google+Facebook pueden cambiar ese código en cualquier momento, y las nuevas instrucciones serían ejecutadas en los ordenadores de todos los que instalaron la herramienta.
Otros riesgos
Además de descubrir que los desarrolladores de Google+Facebook pueden cambiar el comportamiento de su herramienta en cualquier momento, afectando a todos sus usuarios sin que ellos lo sepan, RogueDarkJedi encontró que el aditamento intenta cambiar configuraciones por defecto de Firefox.
Por ejemplo, quienes instalen la aplicación ya no irán directamente a Google cuando ingresen palabras en la barra de búsqueda de Firefox, sino que irán a una página controlada por CrossRider, la empresa desarrolladora de Google+Facebook.

El usuario de Reddit encontró muchas otras señales de alerta en la versión de la extensión para el navegador Firefox, y aunque no analizó la versión para Chrome está convencido de que instalarla conlleva riesgos similares.