몇 달 전, 저자는 YouTube 광고를 빠르게 하는 무료 오픈 소스 확장 프로그램을 만들어 해커뉴스에 공유했고, 이는 홈페이지에 올랐다. 한 주 후, 한 사용자가 이를 복사하여 자신의 버전을 Reddit에 홍보했고, 이는 바이럴이 되어 30만 명 이상의 사용자를 확보했다. 저자는 왜 무료 오픈 소스 확장 프로그램을 복사했는지 의문을 제기하며, 해당 사용자가 나중에 이를 여러 사이트에서 5자리 수의 금액에 판매하려 했다고 언급했다. 또한, 크롬 스토어에 등록된 개발자가 변경된 것을 발견했다고 한다.
확장 프로그램의 ID는 개발자가 앱 스토어에 첫 업로드할 때 제공하는 개인 키에서 파생되며, 이후 업로드에 다른 key.pem이 포함되면 ID가 변경된다. ID가 변경되었다면 소유자가 바뀌었을 가능성이 있지만, 원래 소유자가 새 소유자에게 개인 키를 넘겼을 수도 있다. 구글은 업로드마다 개인 키를 요구하지 않으므로 새 소유자가 해당 키에 접근하지 않고도 변경 사항을 업로드할 수 있다.
한 사용자는 확장 프로그램 생태계가 매우 흥미롭다고 말하며, 이 분야를 위한 도구를 개발 중이라고 언급했다. 특정 확장 프로그램을 대상으로 GitHub 저장소를 만들어 업데이트를 추적하고, 각 업데이트를 저장소에 변경 사항으로 푸시한 후, 코드에 대한 정적 분석기를 실행하고 런타임 오염 분석을 실험하고자 한다.
한 인기 있는 오픈 소스 크롬 확장 프로그램의 소유자는 수년간 받은 기부금이 한 달 카페 비용도 충당하지 못한다고 말했다. 그러나 악의적인 목적으로 확장 프로그램을 사려는 제안을 여러 번 받았고, 이를 모두 거절했다. 원래 개발자의 도덕성만이 보안과 개인 정보 보호의 유일한 프레임워크가 되어서는 안 된다고 주장했다.
다른 댓글러가 언급했듯이, 이 확장 프로그램은 유용하지만 원래 브라우저에 내장된 기능이어야 한다고 한다. 소유권 변경을 자동으로 알려주는지, 아니면 수동으로 '확인' 명령을 실행해야 하는지에 대한 질문이 있었다. 확장 프로그램의 소유권 변경을 사용자 승인이 필요하도록 정책을 변경해야 한다는 의견도 있었다.
파이어폭스 확장 프로그램의 경우, 모질라는 '추천 확장 프로그램 프로그램'을 운영하고 있으며, 이는 보안 전문가에 의한 엄격한 기술 검토를 거친다. 그러나 모든 업데이트가 출시 전에 검토되는지는 명확하지 않다. 만약 모든 업데이트가 검토된다면, 인기 있는 확장 프로그램에 대한 이 문제를 해결할 수 있을 것이다.
확장 프로그램이 악의적인 목적으로 손바뀜이 일어날 경우, 종종 구글 개발자 계정의 자격 증명을 판매하기 때문에 이러한 경우를 감지하지 못할 수 있다.
한 사용자는 오래전에 adblock을 설치했고, 새 컴퓨터에 다시 설치하면서 권한을 확인했다. 광고를 차단하기 위해 사용자가 보는 것을 볼 수 있어야 하지만, 그것이 얼마나 많은 권한을 요구하는지에 대해 생각해본 적이 없었다고 말했다. 이제는 pihole과 확장 프로그램을 전혀 사용하지 않는다고 한다.
악의적인 확장 프로그램 구매자들이 개발자 이름을 그대로 유지하여 이 문제를 회피할 수 있는지, 크롬 확장 프로그램 스토어에서 개발자 이름을 엄격하게 관리하는지에 대한 의문이 제기되었다.
확장 프로그램의 목표에는 동의하지만, 모든 확장 프로그램 목록을 확장 프로그램 중심의 광고 네트워크에 보내는 것은 의심스럽다는 의견이 있었다. 이는 브라우저가 확장 프로그램 마켓플레이스 도메인을 수정하는 데 특별한 규칙을 가지고 있기 때문에 외부 서버가 필요하다고 설명했다.
모든 브라우저에 내장되어야 할 기능이며, 소유자가 변경되면 업데이트가 자동으로 비활성화되어야 한다는 의견이 있었다.
Hacker News 의견