谷歌Chrome浏览器扩展商店的安全问题

主要观点

谷歌Chrome浏览器的安全团队明确禁止第三方扩展开发者通过操纵搜索结果来提升其扩展在Chrome Web Store中的展示位置。然而，安全与隐私研究员Wladimir Palant发现，数百个扩展开发者公然违反这一政策，通过滥用语言翻译功能等手段，操纵搜索结果，导致用户搜索特定关键词时返回无关、劣质或滥用的扩展。

关键信息

1. 政策禁止行为：谷歌禁止开发者使用关键词堆砌、发布多个提供相同功能的扩展等操纵搜索结果的行为。
2. 滥用语言翻译功能：开发者通过在多语言描述中隐藏大量无关关键词，绕过谷歌的政策限制，使扩展在搜索结果中占据优势。
3. 实际案例：例如，搜索“Norton Password Manager”时，除了官方扩展，还返回了三个无关甚至可能滥用的扩展。
4. 大规模滥用：Palant发现920个Chrome扩展使用这种技术，这些扩展来自几个主要的开发者集群。

重要细节

• 语言翻译滥用：开发者将大量无关关键词隐藏在“不常用”语言的描述中，如针对欧洲用户的扩展在亚洲语言（如孟加拉语）中隐藏关键词，反之亦然。
• 误导性描述：例如，扩展“Charm - Coupons, Promo Codes, & Discounts”在英文描述中简洁明了，但在其他语言（如亚美尼亚语、孟加拉语）中隐藏了大量无关关键词，如“RetailMeNot”、“PayPal”等。
• 长期问题：Palant曾多次向谷歌报告此类操纵行为，但问题依然存在，表明谷歌可能未有效监控或未采取足够措施。

结论

尽管谷歌明确禁止操纵搜索结果的行为，但开发者通过滥用语言翻译功能等手段，仍然能够在Chrome Web Store中操纵扩展的展示位置。谷歌虽然表示已注意到相关研究并“采取适当行动”，但问题的持续存在表明其监控和执行力度可能不足。