security - google - extensiones chrome android
¿Las extensiones de Chrome tienen acceso a las aplicaciones de Chrome? (2)
Por cuestiones de seguridad, me pregunto si las extensiones de Chrome tienen acceso a una aplicación. Diseño una aplicación de Chrome que maneja datos confidenciales. Por lo que yo entiendo, esa aplicación se ejecuta en un entorno de espacio aislado que debería estar bastante aislado. Si un usuario hubiera instalado por error una extensión maliciosa de Chrome, ¿esa extensión podría interceptar / modificar cualquiera de los datos confidenciales en la aplicación?
Tenga en cuenta que no considero otras formas de interceptación fuera del entorno de Chrome, por ejemplo, algunos virus que permiten que alguien obtenga acceso de root o similar. Solo me gustaría entender hasta qué punto una aplicación de Chrome es más susceptible a la interceptación que una aplicación estándar independiente.
Sebastian
Las extensiones u otras aplicaciones no pueden acceder a los datos dentro de otras extensiones o aplicaciones. Una excepción pueden ser los datos en la API syncFileSystem, ya que a una extensión se le puede otorgar acceso al Gdrive del usuario.
Por un lado, las extensiones no pueden tocar las ventanas de su aplicación (como en la inspección / inyección de scripts) en el entorno predeterminado, incluso con el permiso "debugger"
. Sus datos "locales" deben ser seguros.
Por otro lado, lo probé y concluí que webRequest
API webRequest
capturará todos los XHR que envíe .
Esto incluye encabezados tanto para la solicitud como para la respuesta y el cuerpo de la solicitud. El cuerpo de respuesta actualmente no está disponible para inspección; sin embargo, una extensión maliciosa puede realizar una redirección, modificar su solicitud o cancelarla.
Esto fue considerado un problema de seguridad ; a partir de Chrome 45, las extensiones ya no pueden interceptar el tráfico de otras extensiones y aplicaciones. Las aplicaciones alojadas también se incluyeron accidentalmente, pero se trata de un error que se solucionará pronto: el tráfico de las aplicaciones alojadas estará abierto a webRequest
forma normal.
No conozco ninguna otra posibilidad para una extensión para husmear en una aplicación (sin ninguna configuración anómala de chrome://flag
).