Les personnes qui supervisent la sécurité du navigateur Chrome de Google interdire explicitement les développeurs d’extensions tiers d’essayer de manipuler la façon dont les extensions de navigateur qu’ils soumettent sont présentées dans le Chrome Web Store. La politique fait spécifiquement appel à des techniques de manipulation de recherche, telles que la liste de plusieurs extensions offrant la même expérience ou l’insertion de descriptions d’extensions avec des mots-clés vaguement liés ou non.
Mercredi, le chercheur en sécurité et confidentialité Wladimir Palant a révélé que les développeurs violaient de manière flagrante ces conditions dans des centaines d’extensions actuellement disponibles en téléchargement sur Google. En conséquence, les recherches pour un ou plusieurs termes particuliers peuvent renvoyer des extensions sans rapport, des contrefaçons de qualité inférieure, ou effectuer des tâches abusives telles que la monétisation subreptice de recherches sur le Web, ce que Google interdit expressément.
Vous ne cherchez pas ? Ça s’en fiche ? Les deux?
Une recherche mercredi matin en Californie pour Norton Password Manager, par exemple, a renvoyé non seulement l’extension officielle mais aussi trois autres, qui sont toutes au mieux sans rapport et au pire potentiellement abusives. Les résultats peuvent être différents pour les recherches effectuées à d’autres moments ou à partir de différents emplacements.
Résultats de la recherche pour Norton Password Manager.
On ne sait pas pourquoi quelqu’un qui utilise un gestionnaire de mots de passe serait intéressé à usurper son fuseau horaire ou à augmenter le volume audio. Oui, ce sont toutes des extensions permettant de peaufiner ou d’étendre l’expérience de navigation Chrome, mais toutes les extensions ne le sont-elles pas ? Le Chrome Web Store ne souhaite pas que les utilisateurs d’extensions soient catalogués ou voient la liste des offres comme limitée, il ne renvoie donc pas simplement le titre recherché. Au lieu de cela, il tire des conclusions à partir des descriptions d’autres extensions dans le but de promouvoir celles qui pourraient également être intéressantes.
Dans de nombreux cas, les développeurs exploitent l’empressement de Google à promouvoir des extensions potentiellement liées dans des campagnes qui imposent des offres non pertinentes ou abusives. Mais attendez, les responsables de la sécurité de Chrome ont averti les développeurs qu’ils ne sont pas autorisés à recourir au spam par mots clés ni à d’autres techniques de manipulation de recherche. Alors, comment cela se passe-t-il ?
