Google toma medidas para proteger a los usuarios de Chrome del cryptojacking y los hackeos

Google está implementando reglas más estrictas para los desarrolladores de extensiones de Chrome, una medida que debería reducir el riesgo de ataques Cripto y malware de minería.

El gigante de la web y la Tecnología anunció el lunes que está planeando una serie de cambios en la forma en que Chrome maneja las extensiones que Request permisos amplios, y también está endureciendo las reglas para los desarrolladores que distribuyen extensiones a través de Chrome Web Store.

Google dijo en unentrada de blog:

Es fundamental que los usuarios puedan confiar en que las extensiones que instalan son seguras, protegen su privacidad y son eficaces. Los usuarios siempre deben tener total transparencia sobre el alcance de las funciones de sus extensiones y el acceso a los datos.

A partir de Chrome 70 (actualmente en versión beta), los usuarios tendrán la posibilidad de restringir el acceso de una extensión a una lista personalizada de sitios o configurar las extensiones para que requieran permiso cada vez que necesiten acceder a una página, explica la compañía.

Google añade que las extensiones que Request "permisos potentes" estarán sujetas a una "revisión de cumplimiento adicional".

"También estamos analizando muy de cerca las extensiones que utilizan código alojado de forma remota, con un seguimiento constante", afirma la publicación.

La empresa explica la medida así: «Si bien los permisos de host han permitido miles de usos potentes y creativos de extensiones, también han dado lugar a una amplia gama de usos indebidos, tanto maliciosos como involuntarios... Nuestro objetivo es mejorar la transparencia y el control del usuario sobre cuándo las extensiones pueden acceder a los datos del sitio».

Google también anunció que, a partir del lunes, Chrome Web Store ya no permitirá extensiones con código oculto u ofuscado. Las extensiones existentes con código ofuscado tienen 90 días para cumplir con la nueva norma, añade.

Según la publicación, más del 70 % de las extensiones maliciosas que infringen las Regulación y que Google bloquea en la Web Store contienen código ofuscado. Además, dado que la ofuscación se utiliza principalmente para ocultar la funcionalidad del código, complica considerablemente el proceso de revisión de extensiones de Google.

"Esto ya no es aceptable dados los cambios en el proceso de revisión antes mencionados", afirmó Google.

Y como medida de seguridad final, en 2019, todas las cuentas de desarrolladores de extensiones deben estar protegidas por verificación en dos pasos para reducir el riesgo de que los piratas informáticos se apoderen de una cuenta.

En el pasado, los ciberdelincuentes han utilizado extensiones de Chrome para proporcionar acceso a las máquinas de las víctimas.

Por ejemplo, hace apenas un mes, hackers subieron una versión maliciosa de la extensión Mega a la Web Store. Las cuentas de quienes usaron el instalador oficial en las siguientes horas se vieron comprometidas, según...ZDNet – incluidos los usuarios de las billeteras de Cripto MyEtherWallet y MyMonero y el intercambio descentralizado IDEX.

Google también se ha visto obligado atomar medidas enérgicas contra las extensionesque utilizaban los dispositivos de los descargadores para minar criptomonedas sin su conocimiento. En abril, la Web Store bloqueó las extensiones que minaban criptomonedas, independientemente de si la minería era una función deliberada o no.

ICON de Chromeimagen vía Shutterstock