Mozilla y los plugins con malware

Hola,

Ahora sí, ahora no. No voy a entrar en este triste asunto de los dichos y desmentidos porque no es el que quiero tratar, si bien esto podría significar el enésimo caso que presenciamos en Internet de donde se lanzan las campanas al vuelo sin tener toda la información en la mano y luego, consecuentemente, se termina metiendo la pata hasta la oreja. Todos los que escribimos podemos incurrir en estos errores, pero parece que no terminamos de aprender que para dar nuestra opinión es conveniente tener en la mano todos los datos, y que las prisas a la hora de vertir opinión no son buenas consejeras.

Hace unos días se determinó que dos de las extensiones existentes en el repositorio AMO (Mozilla Add-ons) de Mozilla, la versión 4.0 de Sothink Web Video Downloader y Master Filer en todas sus versiones, contenían malware. Al final resulta que no, que aunque es cierto que se han detectado indicios confirmados de contaminación en Master Filer, no había problema alguno con Sothink Web Video Downloader. Bien. Ambas vuelven a estar disponibles sin (según Mozilla) riesgos para el usuario.

Hasta aquí poco más. Un incidente, una respuesta ante el incidente, una solución y una comunicación. Pero a la vista de los hechos, no puedo conformarme con darle una palmada en la espalda a Mozilla por su investigación. Creo que es sensato recomendar a todos los usuarios que sean incapaces de analizar el código de las extensiones (las XPI son tristes ficheros comprimidos con contenidos en texto plano) y a todos aquellos que sean incapaces de establecer niveles y fuentes de confianza para las extensiones que utilizan, que no usen extensiones de Firefox. También sería sensato recordar que podemos llenar Mozilla de extensiones, y sin embargo reservar el uso del mismo a todo aquello que no conlleve actividad sensible (banca a distancia, trámites en línea, etc.). ¿Te priva alguien de usar Firefox para tu día a día, y sin embargo tener una instalación limpia de otro navegador con baja incidencia de malware para entrar en tu banco? ¿Te impide alguien dejar la instalación de Firefox tal y como está sin incurrir en instalación de addons? Hay muchas soluciones para diversificar el riesgo, y todos los navegadores son vulnerables, con lo que mal haremos si convertimos Firefox en un huerto de extensiones de las que no tenemos ni la más remota idea sobre su fiabilidad y trayectoria.

Me duele tener que decirlo, pero que haya malware en las extensiones es INTOLERABLE. No sólo por el hecho de que no es la primera vez que pasa, ya que todos recordaremos los tristes acontecimientos acaecidos en 2008 cuando se distribuyó un fichero de lenguaje vietnamita con regalito sorpresa, sino porque estos acontecimientos minan la confianza de los usuarios en algo tan crítico como la herramienta que usamos para acceder a la Red. En este caso en particular, hechos como el sucedido generan dudas más que lógicas sobre los procesos de calidad que Mozilla aplica a las extensiones que luego distribuye, procesos que a la vista de lo ocurrido, no parecen los mejores y que a mí no terminan de inspirarme confianza por muy buenas intenciones que tenga el equipo de desarrollo al completo.

Podemos evocar trescientos mil argumentos para justificar que no pasa nada porque se cuele malware de vez en cuando en los complementos de Firefox. Que si es gratis, que si es software libre, que si somos una comunidad cojonuda y aquí hacemos lo que podemos, y todo lo que queráis, pero a mí ningún argumento me convence. Podría entender que a Mozilla le colasen binarios infectados empaquetados a mala leche y ofuscados hasta la saciedad, y que porque no haya gente que haga reverse engineering decente les metan un gol. Puedo entender que tras una intrusión coloquen binarios modificados en los servidores de descarga y que durante un tiempo pasen inadvertidos. Pero con las extensiones, no, lo siento pero no. Si no tienes medios para analizarlas como es debido para asegurar el máximo nivel de calidad, no las sirvas. Y si quieres servirlas traslada a los usuarios de una manera CLARA que que el riesgo de infección por adulteración de las mismas existe, que hay que tener una mínima consciencia de la procedencia y naturalez de lo que se instala, y que cada cual elija si instalar o no.

Hagamos lo posible por que los usuarios asemejen los repositorios de Mozilla a cualquier otro de software. Es lo mismo bajarse una extensión que un programa freeware de la página de un desarrollador cualquiera, ya que el riesgo de contaminación siempre estará presente, con lo que creo interesante trasladar a los usuarios que Mozilla.com no es un Olimpo donde nunca ocurre nada, y que como cualquier otra fuente de software, las incidencias pueden ocurrir y están a la orden del día. Nadie está a salvo.

Es obvio que a tenor de los casos documentados el riesgo es pequeño, ya que son casos puntuales, pero eso no es óbice para no dejar claro que instalar extensiones de Firefox adulteradas puede conllevar a la contaminación de equipos. Esto es un hecho, y en vez de perder el tiempo en rebatirlo con tonterías sobre idílicas comunidades, quizás deberíamos perderlo en explicarle al usuario que hay maneras de analizar lo que se utiliza, y que si no se sabe o no se tienen medios para el análisis técnico, hay que aprender establecer nuestros niveles de confianza, basándonos en la opinión de otros usuarios, en la de conocidos y allegados con nociones y experiencia superiores a las nuestras, en los antecedentes, en la trayectoria de los desarrolladores, en los procesos de calidad que se ejecuten, en la opinión experta de analistas y en un sinfín de parámetros. Y si con todo eso no somos capaces o albergamos dudas, señores, lo que hay que hacer es no usar ese software y buscar una alternativa de la que sí podamos fiarnos. Es así de simple. Tarde o temprano nos acabaremos fiando porque no nos queda más remedio (no es sensato ni productivo analizar todo lo que ejecutamos), así que pongamos la carne en el asador para ver cuál es la mejor manera de poder fiarnos incurriendo en los mínimos riesgos posibles.

Un saludo,