Так а команда разработчиков браузера наверняка проверяет код расширений чтобы выявить в нем "не задокументированные возможности", и в случае чего отказывает в размещении в своем репозитории. Или это фантастика и весь код досконально не проверишь?
Перед размещением на сайте, расширения проверяют. Но там проверки идут в основном на всякие вызовы запрещенных функций которые позволят например внедрять на страницы посторонний код. Понятно, что если разрешить расширению загружать и внедрять посторонний код, то расширение в любой момент может сделать с пользовательской системой все что угодно.
Разве применение скриптов в браузере не ограничено средой самого браузера?
Но никаких проверок на "недокументированные возможности" не проводится. Ибо зачастую вся документация это собственно само описание, а описание почти всегда одно и то же типа: "расширение добавляет три кнопки на сайт и все этому радуются".
Технически, чтобы забрать ваш пароль, расширению всего-то нужно читать события от одного единственного поля ввода. Не думаю, что чтение событий от полей ввода является запрещенным функционалом в расширениях.
Про поля ввода это понятно. Но ведь помимо того что нужно считать информацию из полей её же нужно отправить разработчику расширения. Неужели именно этот код не может вызвать подозрений. Или все это легко маскируется под отправку заранее предусмотренных запросов?