¿Está activando Google Chrome la sincronización sin permiso del usuario?
Chrome 69 ha destacado sobre todo por la utilización de Material Design 2 por defecto, lo que ha supuesto un cambio estético muy importante con el fin de darle cierto aire fresco a una aplicación que llevaba prácticamente una década con el mismo diseño base.
Sin embargo, parece que la última versión del conocido y extendido navegador de Google ha venido con una sorpresa desagradable. Según informan diversas fuentes, Chrome 69 estaría iniciando la sesión en la aplicación nada más acceder el usuario a alguno de los servicios del gigante de Mountain View.
Explicando esto con un ejemplo, si el usuario accede a Gmail desde Chrome, puede terminar descubriendo que esa acción también ha iniciado la sesión en la aplicación, activando de esa manera el servicio de sincronización, el cual permite almacenar todo tipo de datos en la nube (marcadores, historial, contraseñas… ) con el fin de poder utilizarlos en distintos dispositivos o sistemas operativos en caso de tener varios en un mismo ordenador. Obviamente, partimos del supuesto de que el usuario no ha iniciado sesión antes conscientemente en el servicio de sincronización de Chrome, con la posibilidad de que desconozca su existencia.
Cuando el asunto se destapó, los ingenieros de Google salieron al paso para decir en Twitter que los datos no se sincronizan a menos que el usuario lo indique. Dicho con otras palabras, si el usuario inicia sesión en Gmail desde Chrome, se inicia también la sesión en el navegador, pero este no sincroniza a menos que así lo indique el usuario. De ser esto así, no sería tan lesivo, pero igualmente es una mala práctica por parte de la compañía al imponer algo sin consentimiento del usuario. Y es más, ha argumentado que la adición de este comportamiento tiene razones de privacidad, ya que se trata de un mecanismo añadido para las computadoras y navegadores compartidos, evitando así que un usuario envíe accidentalmente datos desde la cuenta de otra persona.
Sin embargo, el hecho de que este mecanismo se accione, al menos aparentemente, de forma involuntaria y sin informar al usuario es igualmente una mala práctica por parte de Google, que desde hace muchos años está señalada por los defensores de la privacidad debido a sus prácticas en esa área, hasta el extremo de eliminar su lema “Don’t be evil” de su código de conducta, aunque esto también tiene que ver con su participación en proyectos como Maven. Los que quieran inhabilitar este amago de sincronización en Chrome tendrán que desactivarlo a partir de la siguiente URL:
chrome://flags//#account-consistency
Google Chrome es señalado como un navegador poco respetuoso con la privacidad, y más allá de lo que pueda contener en su código, un ejemplo de lo invasivo que puede llegar a ser con la privacidad del usuario está en su servicio de sincronización, independiente de lo expuesto en esta entrada.
Cada vez que el usuario inicia sesión en el navegador de Google, podrá ver que por defecto se sincroniza todo y luego tendrá que seleccionar qué quiere sincronizar. Por su parte, Firefox resulta bastante más respetuoso, ya que el servicio de Mozilla mantiene la última configuración establecida por el usuario. Por ejemplo, si en la sincronización de Firefox se establece no sincronizar las contraseñas, en todas las otras instalaciones en las que se inicie sesión la opción de las contraseñas aparecerá desactivada.
Más allá de que este mecanismo de inicio de sesión en el navegador no es mal intencionado, Google tendría que ser al menos bastante más transparente e informar mejor al respecto.
Fuentes: ZDNet y cryptographyengineering.com
Via: www.muyseguridad.net