Chromium es una bifurcación de Chrome que mantiene todas las funciones del navegador de Google eliminando todo el software propietario como el plugin Flash de Adobe.
Por eso, este navegador es uno de los más usados en el mundo del software libre ya que ofrece prácticamente todas las funciones de Chrome sin la necesidad de ejecutar un binario del que no se conoce el código de procedencia.
Pero hace unos días, un usuario de Debian descubrió algo extraño en el paquete de Chromium que se distribuye con la distro. Tal y como comenta, después de actualizar Chromium a la versión 43, me he dado cuenta de que cuando se está ejecutando e inmediatamente después de que la máquina esté conectada a Internet, comienza de forma silenciosa la descarga de la extensión «Chrome Hotword Shared Module», que contiene un binario sin código fuente. No hay opciones para la configuración.
En el contrato social de Debian, podemos leer que jamás se distribuirá software del que no se tenga el código fuente, por lo que este paquete infringe la primera regla de este documento.
Otro usuario ha escrito en el mismo reporte esto: El hecho de que la opción «Permitir captura de audio» esté marcada en ‘sí’ y que ambas extensiones y el módulo compartido estén marcados como ‘habilitados’ definitivamente me está fastidiando.
Según parece, el fallo ya ha sido solucionado y el paquete de Chromium en Debian ya no descarga esa extensión pero como comenta un tercer usuario, como en realidad nadie sabe qué binarios se han descargado y qué hacen realmente, y debido a que no se puede asegurar que no hayan sido ejecutados, esos sistemas básicamente se deben considerar como comprometidos. La gente elige código abierto precisamente para evitar eso y obtienen la ejecución de código no verificable ni confiable.
En cualquier caso, este acontecimiento deja bien claro lo vulnerable que se puede volver un sistema cuando en él participa algún empaquetador negligente. Vía TheRegister.
Gracias !