Cuidado con lo que instalas

Buenas:

En el anterior artículo te hablaba de cómo una serie de redes de publicidad habían básicamente estafado a Uber cerca de 100 millones de dólares a través de la instalación de aplicaciones en teléfonos Android para fingir que los usuarios estaban buscando la aplicación para usarla en primer lugar.

Una de las cosas que me llevan al famoso "jardín con muros" de Apple es que, algunas cosas (no todas) son más complicadas de hacer que otras, sobre todo desde el momento en el que el creador de los elementos físicos que corren el software son los mismos que diseñan ese software en primer lugar y donde, muchísimo más importante, su modelo de negocio no se sostiene en la recopilación salvaje y agresiva de la mayoría de aplicaciones o servicios que, actualmente, utilizas de alguna forma u otra.

No te líes, Paquito...

Al turrón, que me voy por las ramas... El año pasado, con todo el dolor de corazón del mundo, he seguido el caso de dos pequeñas aplicaciones (extensiones del navegador en el ordenador, para ser exacto) donde, la misma historia, ha sucedido, siempre con resultados nefastos para sus usuarios.

La última es la que más miedo me ha dado, porque yo he sido usuario de dicha extensión y, de eso, hablaremos hoy...

Érase una vez Google Chrome...

La mayoría de nosotros, en algún momento (según las estadísticas de mi blog, la mayoría de las personas que se pasan por aquí) ha usado o usa el navegador de Internet de Google.

Google Chrome, en general, es un navegador fantástico, que se actualiza de forma automática y que, por la cantidad de información que Google recopila, además de su excelente equipo de desarrollo, suele ser muy seguro.

Chrome, como Firefox, Safari o el navegador que utilices, tiene la capacidad para añadir "extensiones" o "plugins", es decir, pequeñas pseudo-aplicaciones que permiten extender la funcionalidad intrínseca del navegador para hacer otras cosas.

En mi caso, desde que he vuelto a la secta de la manzana, utilizo Safari y, en dicho navegador, tengo dos extensiones instaladas:
  1. "Pocket" (que es un servicio para guardar artículos de páginas webs que me encantaría leer y que, al guardarlas ahí, elimina toda la parafernalia de anuncios y formatos de la web, dejando sólo el texto y, lo que es más importante, permitiendo leer esos artículos cuando quiera offline, sin tener que conectarme a internet.
  2. "1Blocker", que es, de lejos, el mejor bloqueador de publicidad y otro tipo de cosas para iOS y para macOS... En este caso, he pagado al desarrollador el dinero que ha pedido desde el primer día, porque es fantástico, fue creado por un chico en un verano (hoy en día son un equipo de tres personas) y, honestamente, se merecen cada céntimo que piden.
En su día, en cambio, cuando usaba Google Chrome, había una cosa que, si no lo sabes, ya te lo contaré yo: el navegador de Google utiliza una barbaridad de memoria de tu ordenador, supongo que para hacer que sea lo más estable posible, pero es evidente que no estaría de más que lo optimizaran un poquito.

Por ese motivo, porque Chrome no usaba memoria RAM, sino que se la bebía como si no hubiera mañana, instalé una maravillosa extensión llamada "The Great Suspender" y que lo que hacía era que, cuando tenías varias pestañas con diferentes páginas webs abiertas en ellas, después de 5 minutos de no acceder a ellas, las suspendía, liberando la correspondiente memoria que esa pestaña le pedía al navegador para mantenerla activa.

Una extensión maravillosa, creada por un tipo en su tiempo libre, con el repositorio del código expuesto en la plataforma Github, signo de transparencia y que permite, entre otras cosas, que otros desarrolladores puedan crear versiones de la extensión o, mejor aún, auditar el código, para poder reportar o solucionar problemas, así como garantizar que, efectivamente, la extensión hace lo que dice y nada más...

Cuando la cosa se tuerce...

El problema de muchos de los proyectos de código abierto, sobre los que se sostienen miles de servicios o millones de usuarios de Internet, están en manos de un grupo muy reducido de personas que, por amor al arte, con toda la pasión del mundo y con un talento descomunal, deciden regalarle al mundo su proverbial inteligencia para crear maravillas como "The Great Expander" que, hasta hace nada, era una extensión utilizada por, ojito, dos millones de personas en todo el mundo.

Y todo esto, ojo, creado por un tipo, "por amor al arte"...

Y el caso es que, hace unos meses, el tipo, que ya va teniendo una edad, compromisos familiares, más trabajo profesional o lo que sea, decide vender la aplicación a otra persona (o entidad, no se sabe a ciencia cierta) para que continúe la labor.

El creador lo anuncia, explica lo que va a suceder y recuerda que todo seguirá siendo código abierto y que el repositorio del código seguirá siendo público, para que la gente siga viendo que es lo que hay detrás de lo que el nuevo propietario vaya a hacer...

El problema es, cuando de pronto, eso no es así: el nuevo propietario del código empuja una actualización de la aplicación a los usuarios pero, curiosamente, el repositorio público del código no refleja ningún cambio...

Como Internet está llena de gente maravillosa (que la hay), inteligentísima (que la hay) y súper capaz, lo que de pronto aparece como algo extraño, se convierte en una carrera por desentrañar qué diablos ha cambiado en esa última actualización...

Lo primero que ven es que, quien sea que sea ahora responsable de la extensión, ha cambiado lo que se supone que son un par de llamadas a un servicio de estadísticas (las extensiones, como todo software moderno, tienen sus propias librerías para entender cómo son utilizadas por los usuarios, bien para reportar problemas, cuando la extensión no funciona bien, o bien para entender qué es lo que haces con ellas).

Hasta ahí, aunque inusual, la cosa está más o menos dentro de lo lógico: a lo mejor el tipo o la empresa que se encarga ahora utiliza un servicio de estadísticas diferente al anterior propietario...

Pero hay un par de problemas: ese cambio se produce sin actualizar el repositorio del código que está disponible para ser revisado y, lo que es todavía más interesante, ese cambio no cumple lo que se supone que son las directivas de analíticas de Google, por cuanto es una extensión que se ofrece en la tienda de extensiones para Chrome que Google tiene puesta a tal efecto.

Detalles, detalles, detalles...

El personal aquí todavía le da un voto de confianza al nuevo tenedor de la extensión pero, como el personal ya se empieza a mosquear, siguen investigando qué ha cambiado en esa nueva versión y descubren otras cosas, como por ejemplo que ha introducido llamadas a otros servicios webs que, potencialmente, pueden cambiar lo que ves en una página web, en particular los anuncios, sin tener en cuenta que, en ese cambio, a lo mejor esas llamadas pueden transmitir otras cosas de esa página, como por ejemplo, tu usuario y tu contraseña, si están en una página donde te registras para hacer tal o cual cosa...

Actualmente, en el propio repositorio de Github, hay una discusión abierta alertando de esto.

¿A qué acojona?

Pues sí: acojona porque no es la primera vez y porque, en el último año, este es el segundo ejemplo que conozco donde algo tan grave sucede...

El primer ejemplo que recuerdo, sin los detalles exactos en este momento, porque tengo una memoria de pez, es de cuando otro proyecto de código abierto, en este caso una librería de JavaScript que era utilizada por millones de páginas web para hacer que el contenido funcionara de la mejor forma posible, en iguales circunstancias (un sólo desarrollador, igual que el caso anterior) decide dejar el proyecto y transmitir la responsabilidad de dicha librería a otra/s personas, con exactamente el mismo resultado (de pronto, se pusieron a cambiar cosas para, si no recuerdo mal, hacer minado de cripto-monedas con tu ordenador a través de todas las páginas webs que utilizaran ese trocito de código de código que pudieras visitar.)

El problema del código abierto actual

El código abierto y el software libre son ideas maravillosas: la gente crea cosas y comparte el código para que otros lo puedan estudiar, usar y/o mejorar, pero muchas de las cosas que millones de personas, de forma consciente o inconsciente, utilizan en su día a día, están en manos de un número extremadamente pequeño de personas que, en muchos casos, contribuyen o crean verdaderas joyas tecnológicas por, repito, "amor al arte" y que, el día que sus vidas o sus circunstancias cambian, como no haya alguien detrás que quiera continuar el trabajo sin ningún tipo de fin negativo, te lleva a sorpresas como éstas.

En general, todo sale fantásticamente bien y, con el tiempo, esa gente consigue algún tipo de donación, beca o alguna forma de compensación económica que les permite dedicar el tiempo y los recursos necesarios para que sus proyectos persistan y mejoren en el tiempo.

Pero, desafortunadamente, a veces eso no sucede, momento en el que cosas como las que te conté antes suceden.

Un par de consejos

El primero: en la medida que puedas, siempre que utilices software de desarrolladores independientes o programas de código abierto mantenidos de forma altruista, en la medida en la que puedas, dona algo de dinero (según tus posibilidades ojo).

El segundo: antes de instalar algo en un tu ordenador, en tu navegador o en tu teléfono móvil, revisa siempre los permisos que esas cosas piden (en el caso de iOS y macOS es muchísimo más difícil de que te la hagan, porque los permisos deben ser concedidos de forma expresa) y, sobre todo, analiza la reputación de la entidad que ha creado el software en primer lugar.

Y uno puede pensar que, estas cosas, así a bote pronto, sucede sólo en pequeñas aplicaciones y son casos marginales...

Es decir: las grandes empresas no hacen cambios en su código con elementos potencialmente nocivos o intensivos... ¿Verdad?

Podrías pensar eso, pero cuando iOS, hace un año, permitió ver qué permisos de seguridad en sus dispositivos o qué tipo de accesos pedían las aplicaciones ya instaladas, fue maravilloso descubrir como la aplicación YouTube, curiosamente, estaba intentando acceder a los permisos de acceso del Bluetooth del iPhone o del iPad para explorar qué otros dispositivos Bluetooth estaban a mi alrededor...

Y esto, y aquí te lo dejaré, es sospechoso de narices, porque yo estaba escuchando el audio de YouTube a través de Bluetooth en primer lugar, así que, si no era para ofrecerme el audio, ¿Para qué diablos quería YouTube saber qué otros dispositivos Bluetooth estaban cerca de mí?

La respuesta, ya la sabes: recopilar datos sobre mí para intentar venderme mierda, a través de una inocente pregunta que no tenía nada que ver con el propósito original (yo ya estaba conectado con mis auriculares Bluetooth al dispositivo, así que no era para ofrecerme el audio que ya estaba recibiendo).

Ya va siendo hora de meter a esta gente en cintura (pero de eso ya hablaremos: la economía de la vigilancia y recopilación de datos masiva a gran escala se ha pasado catorce pueblos, sobre todo cuando, como te conté el otro día, se ha demostrado que todo es una falacia y que, en realidad, ni los anunciantes, ni los usuarios, le están sacando el provecho que se les ofrece en primer lugar).

Ten cuidado y recuerda: antes de instalar nada, revisa bien qué cosas te pedirá esa cosa habilitar y para qué.

Seguiremos informando.



Paquito

Emilio: sugerenciasapaquito (arroba) yahoo (punto) es

Twitter: @paquito4ever

Comentarios

Quizás te pueda interesar...

Bloguear en tiempos de Pandemia

Ralentizarte

Elemental, querido Paquito

La estafa de los tulipanes que no florecen

Cuando sí puedes soportar la verdad