Google has announced several enhancements for its Chrome Web Store aimed at making Chrome extensions safer and more transparent for users.
Last year, there was a new wave of phishing attacks targeting popular browser extensions, then updating them with malicious code and distributing them to their tens of millions of users.
Over the past couple of years, we have seen a significant increase in malicious extensions that trick us by offering useful features, while running hidden malicious scripts in the background without the user's knowledge.
To prevent this, Google, aware of the problems caused by these malicious scripts, ha estado trabajando activamente para cambiar la forma en que su navegador web Chrome maneja las extensiones.
Earlier this year, Google prohibió las extensiones usando scripts de minería de datos de criptomonedas y luego, en junio, la compañía también deshabilitó la instalación en línea de extensiones de chrome completamente. La compañía también ha estado utilizando tecnologías de aprendizaje automático para detectar y bloquear extensiones maliciosas.
Es más Google anunció el lunes cinco cambios importantes que brindan a los usuarios más control sobre ciertos permisos, hace cumplir las medidas de seguridad y hace que el ecosistema sea más transparente.
A partir de Chrome 70 (actualmente en versión beta), los usuarios podrán controlar cuándo y cómo las extensiones de Chrome pueden acceder a los datos del sitio, permitiéndoles restringir el acceso a todos los sitios y luego otorgar acceso temporal a un sitio web específico cuando sea necesario, o habilitar permisos para un conjunto específico de sitios web o todos los sitios.
Google prohibe la ofuscación de código para las extensiones de Chrome, la ofuscación es una técnica dirigida principalmente a proteger la propiedad intelectual de los desarrolladores de software al hacer que los programas sean más difíciles de entender, detectar o analizar. Taking advantage of this technique, malware authors often use packing or obfuscation techniques to make it difficult for Google's automated scanners to review the extension and detect or analyze the malicious code.
Starting with the rollout of the new version, new extension submissions to the Chrome Web Store must be free of obfuscated code, and developers will have 90 days to clean their Chrome extensions of obfuscated code, whether in the extension package or on the web.
Starting in January, Google requerirá que los desarrolladores habiliten la verificación de dos pasos en sus cuentas de Chrome Web Store para reducir el riesgo de que los piratas informáticos se hagan cargo de sus extensiones .
Con Chrome 70, Google también comenzará a realizar una revisión más profunda de las extensiones que solicitan “permisos poderosos”. Además de esto, la compañía también comenzará a supervisar de cerca las extensiones con un código alojado de forma remota para detectar cambios maliciosos rápidamente.
Google también planea introducir una nueva versión del manifiesto de la plataforma de extensiones, la versión 3, que apunta a habilitar “garantías más sólidas de seguridad, Privacy and Performance”.