Subscribe to web2feel.com
Subscribe to web2feel.com

"La educación no es una caridad es una inversión y es la mejor herramienta para erradicar la pobreza de nuestro pais". Shakira


Google Chrome para GNU/Linux se comporta como malware

Publicado por fjukja 12.12.09



Hace un par de días salió la beta oficial de Google Chrome para Debian, Ubuntu, openSUSE y Fedora, junto con la versión para Mac OS X. Tras descargarlo, examiné los paquetes de instalación y descubrí algunos comportamientos que no me han gustado un pelo.

Centrémonos en lo más importante: sin venir a cuento, instala un script en el sistema cron que se ejecuta diariamente. Lo que hace este script es añadir un origen de software que apunta a los servidores de Google, en caso de que no lo tengas añadido ya. De esta forma, si el usuario borrase el origen de software, este se volvería a añadir automáticamente al día siguiente.

Todo esto ocurre a espaldas del usuario, al que en ningún momento se le notifica de este extraño y poco convencional comportamiento.

El único lugar donde podría llegar a entenderse como que lo avisa –de una forma un tanto retorcida– es en el punto 11 del extenso y aburrido EULA que acompaña a la descarga, donde dice: «el software que utilices puede descargar e instalar actualizaciones de vez en cuando desde Google». Vamos, que ni es suficiente ni estaría contando la verdad, porque no es el mismo software el que descarga e instala las actualizaciones.

El origen de software que añade no se borra aunque desinstales Google Chrome. El que sí se borra es el script que lo vuelve a añadir diariamente, por lo que basta con borrar este origen por una última vez –junto con su clave pública– para eliminar todo rastro.

Alguno podrá decir «¡estás exagerando, no es tan malo!», pero lo cierto es que este comportamiento no es muy diferente del de un backdoor: Google abre una puerta en tu sistema para instalar software desde sus servidores sin tu consentimiento expreso, mientras crees que solo estás instalando una aplicación sin más.

Un modo más correcto de proceder sería, a mi parecer, crear un paquete que lo único que hiciese fuera precisamente añadir el repositorio y su correspondiente clave pública, sin instalar nada. El mismo paquete debería notificar esta acción y preguntar al usuario si se desea instalar Google Chrome a posteriori, o bien dejarle que lo haga con la herramienta habitual para su distribución.

Afortunadamente, aunque Google Chrome no sea software libre, su base Chromium sí. Además de tener un logo algo diferente, no existe ninguna diferencia notable entre ambos por la que merezca la pena decantarse por el primero.

Sí, estoy sugiriendo que paséis de Google Chrome en favor de Chromium. Que cada uno haga lo que quiera, pero en un Chromium distribuido en los orígenes de software propios de las distribuciones jamás ocurrirán cosas de estas.

, , , | edit post