Header Ads Widget

Ticker

6/recent/ticker-posts

Google ahora les dice a los criminales cuando los usuarios de Chrome están "inactivos". ¿Qué puede salir mal?

Otro día, otra revelación de que es posible que los proveedores de dispositivos móviles no siempre tengan en cuenta las necesidades de los usuarios, pero seguro que son útiles para los ladrones cibernéticos.


Cuando Google lanzó Chrome 94 para Android (y escritorio), incorporó algunas capacidades traviesas a través de una API llamada Idle Detection.  

“La API de detección de inactividad notifica a los desarrolladores cuando un usuario está inactivo, indicando cosas como falta de interacción con el teclado, el mouse, la pantalla, la activación de un protector de pantalla, el bloqueo de la pantalla o el cambio a una pantalla diferente. Un umbral definido por el desarrollador activa la notificación ”, dijo Google en una publicación de blog . "Las aplicaciones que facilitan la colaboración requieren más señales globales sobre si el usuario está inactivo que las que proporcionan los mecanismos existentes que solo consideran la interacción del usuario con la propia pestaña de la aplicación".

¿Qué tiene de malo eso?

Una excelente historia en FossForce  cita dos fuentes que presentan un caso elocuente de por qué los proveedores de dispositivos móviles como Google no siempre tienen en cuenta las necesidades de los usuarios.

“Considero que la API de Idle Detection es una oportunidad demasiado tentadora para que los sitios web motivados por el capitalismo de vigilancia invadan un aspecto de la privacidad física del usuario, mantengan registros a largo plazo de los comportamientos físicos del usuario, disciernan los ritmos diarios (por ejemplo, a la hora del almuerzo) y utilicen eso para una manipulación psicológica proactiva (por ejemplo, el hambre, la emoción, la elección), "Tantek Çelik, los estándares web conducen al desarrollador del navegador Firefox de Mozilla, dijo FossForce.  " Además, este tipo de patrones secundarios podrían ser utilizados por los sitios web a los recursos informáticos locales subrepticiamente máximo de espera para la prueba de -cálculos de trabajo [es decir, minería de criptomonedas, etc.], desperdicio de electricidad (costo para el usuario, aumento de la huella de carbono) sin el consentimiento del usuario o tal vez incluso sin el conocimiento ".

Jon von Tetzchner , fundador y director ejecutivo de Vivaldi, que se centra en la privacidad, señaló que la API está bloqueada de forma predeterminada en el navegador de Vivaldi. Nota: Apple también dijo que no está implementando la API. 

“Este principio de monitorear realmente que no estás frente a la computadora, lo vemos como un problema de privacidad y lo vemos como un problema de seguridad”, dijo von Tetzchner. “Vemos que tal vez exista la posibilidad de que alguien reconozca, 'Oh, no estás en tu computadora, tal vez podamos hacer algún daño mientras no estás allí', extrayendo criptomonedas o similares”.

Y ahí radica el problema. Google no es tan ingenuo como se centra solo en los ingresos y sus socios comerciales. Si un anunciante, un grupo de publicidad o incluso los desarrolladores de juegos encuentran valiosos algunos datos extracurriculares, Google lo racionaliza, entonces, por supuesto, compartámoslo todo.

En cambio, empresas como Google ( y Apple, para el caso ) deben mirar las plataformas móviles y pensar: "¿Qué es lo peor que una persona malvada podría hacer con esta información?" En otras palabras, deben pensar como un especialista en seguridad y / o privacidad. 

Cuando los desarrolladores de Google estaban discutiendo la posibilidad de agregar esta capacidad, ¿pensaron los funcionarios de Google en tener un ejecutivo de ciberseguridad y tal vez alguien del equipo de su director de privacidad en la reunión? ¿Alguna vez se incluyeron en memos? 

No sé quién decidió que esto era una buena idea, pero apuesto una semana de mi compensación de Computerworld (una pequeña cantidad, te lo concedo) a que no estuvieron involucrados. Eso se basa únicamente en lo que lanzó el equipo. Si no fuera Google, podría suponer que la gente de privacidad y seguridad estaba en las reuniones, pero su consejo fue ignorado o, al menos, anulado. Pero con Google, apuesto a que nunca fueron invitados ni copiados.

Para que este proceso funcione, las consideraciones de privacidad y seguridad deben explorarse seriamente con cada nueva característica o producto. A decir verdad, solo necesita ser explorado cuando existe algún posible problema de seguridad / privacidad.

Ese es el problema dos. Los ejecutivos desarrolladores de Google normalmente ni siquiera ven los problemas de seguridad / privacidad más obvios porque no es así como ven el software. Ven el código como una oportunidad pura para hacer dinero junto con la dominación del mercado. (Estaba a punto de decir dominación mundial, pero eso es más una cosa de Apple y Facebook). 

La seguridad / privacidad no se puede tratar como una ocurrencia tardía. Bueno, en realidad puede serlo. Y el resultado es algo que se parece muchísimo a la detección de inactividad.


Publicar un comentario

0 Comentarios