Стараниями перекупщиков два полезных расширения Chrome превратились в орудие показа навязчивой рекламы. Когда обнаружилось, что Add to Feedly и Tweet this Page проданы распространителям adware и заменяют рекламные ссылки на сайтах, открываемых в Chrome, Google изъяла модифицированные аддоны из своего магазина Chrome Store. Риски для пользователей уменьшились, однако этот инцидент выявил неприятную багу в механизме раздачи обновлений Google, который позволяет автоматически производить изменения, привнесенные новыми владельцами аддонов, без ведома пользователя.

После упразднения Google Reader известный индийский блогер Амит Агарвал (Amit Agarwal) перешел на его аналог Feedly и для собственного удобства написал расширение для Chrome, позволяющее подписываться на RSS-рассылки в один клик. Add to Feedly было выложено на Chrome Store и приобрело большую популярность: на его долю пришлось более 30 тыс. загрузок. Спустя некоторое время автор Add to Feedly получил от незнакомки предложение продать написанные за час исходники за четырехзначную сумму. Через месяц после совершения сделки Агарвал обнаружил, что новые владельцы усовершенствовали его детище и аддон начал внедрять чужую рекламу на сайты, посещаемые пользователем.

«Речь идет не о тех баннерах, которые обычно отображаются на странице, а о скрытой рекламе, — поясняет индиец. — При заходе пользователя на любой сайт все присутствующие на нем линки в фоновом режиме заменяются ссылками на партнерскую рекламу.  Проще говоря, при активации данного расширения в Chrome оно начинает внедрять стороннюю рекламу во все веб-страницы».

Google удалила с Chrome Store оба аддона, нарушающие установленную компанией политику в отношении качества публикуемого контента. Согласно этим правилам, расширения должны быть целевыми, и пользователям нельзя навязывать дополнительный функционал, особенно если он не отвечает прямому назначению аддона. «Если две функции не связаны между собой, их следует реализовать в двух разных расширениях и пользователю должна быть предоставлена возможность устанавливать и деинсталлировать их порознь», — наставляет разработчиков Google, добавляя, что это касается также панелей инструментов (тулбаров), которые нередко идут в связке с аддонами.

Злоумышленники, сделавшие ставку на популярность легальных расширений, явно знали, что делали. Покупка Add to Feedly и Tweet this Page — аддона, позволяющего расшаривать понравившиеся страницы, обеспечила им устойчивый доход от принудительного показа рекламы. Более того, применяемый Google молчаливый способ установки обновлений играет им на руку и вполне может быть использован для распространения спама и вредоносных программ.

«Расширение [Add to Feedly] имеет опцию отказа от рекламы (по умолчанию она отключена), — отмечает Агарвал. — Показ рекламы можно также отключить вручную, поставив блок на соответствующие домены в файле hosts. Тем не менее скрытное внедрение рекламных функций — далеко не самый этичный способ монетизации продукта».

Категории: Главное, Мошенничество