Google Moves para Protektahan ang Mga Gumagamit ng Chrome Mula sa Cryptojacking at Mga Hack

Nagdadala ang Google ng mas mahigpit na panuntunan para sa mga developer ng extension ng Chrome, ang isang hakbang ay dapat mabawasan ang panganib ng mga Crypto hack at pagmimina ng malware.

Inanunsyo noong Lunes, pinaplano ng web at Technology giant ang isang serye ng mga pagbabago sa paraan ng paghawak ng Chrome sa mga extension na Request ng malawak na pahintulot, at hinihigpitan din ang mga panuntunan para sa mga developer na namamahagi ng mga extension sa pamamagitan ng Chrome Web Store.

Sinabi ng Google sa isang post sa blog:

"Mahalaga na mapagkakatiwalaan ng mga user ang mga extension na kanilang ini-install ay ligtas, pinapanatili ang privacy, at gumaganap. Dapat palaging may ganap na transparency ang mga user tungkol sa saklaw ng mga kakayahan ng kanilang mga extension at access sa data."

Mula sa Chrome 70 (kasalukuyang nasa beta), ang mga user ay magkakaroon ng kakayahang paghigpitan ang access ng isang extension sa isang custom na listahan ng mga site, o magtakda ng mga extension upang mangailangan ng pahintulot sa tuwing kailangan nilang makakuha ng access sa isang page, paliwanag ng kumpanya.

Idinagdag ng Google na ang mga extension na Request ng "makapangyarihang mga pahintulot" ay sasailalim sa "karagdagang pagsusuri sa pagsunod."

"Kami ay tumitingin din nang mabuti sa mga extension na gumagamit ng malayuang naka-host na code, na may patuloy na pagsubaybay," sabi ng post.

Ipinaliwanag ng firm ang hakbang, na nagsasabing "Habang na-enable ng mga pahintulot ng host ang libu-libong makapangyarihan at malikhaing mga kaso ng paggamit ng extension, humantong din ang mga ito sa malawak na hanay ng maling paggamit – parehong nakakahamak at hindi sinasadya... Ang aming layunin ay pahusayin ang transparency ng user at kontrolin kung kailan naa-access ng mga extension ang data ng site."

Sinabi rin ng Google na, mula Lunes, hindi na papayagan ng Chrome Web Store ang mga extension na may nakatago, o na-obfuscate, na code. Ang mga kasalukuyang extension na may na-obfuscate na code ay may 90 araw upang sumunod sa bagong panuntunan, idinagdag nito.

Ayon sa post, higit sa 70 porsyento ng "mga extension na nakakahamak at lumalabag sa Policy " na hinaharangan ng Google mula sa Web Store ay naglalaman ng na-obfuscated na code. Dagdag pa, dahil ang obfuscation ay "pangunahing ginagamit upang itago ang functionality ng code," ito ay lubos na nagdaragdag sa pagiging kumplikado ng proseso ng pagsusuri ng extension ng Google.

"Hindi na ito katanggap-tanggap dahil sa mga pagbabago sa proseso ng pagsusuri sa nabanggit," sabi ng Google.

At sa isang panghuling hakbang sa seguridad, sa 2019, dapat protektahan ng 2-step na pag-verify ang lahat ng extension developer account para mapababa ang panganib na maagaw ng mga hacker ang isang account.

Noong nakaraan, ang mga extension ng Chrome ay ginagamit ng mga cyber-criminal upang magbigay ng access sa mga makina ng biktima.

Halimbawa, isang buwan lang ang nakalipas, nag-upload ang mga hacker ng malisyosong bersyon ng Mega extension sa Web Store. Ang mga taong gumamit ng opisyal na installer sa susunod na ilang oras ay nakompromiso ang kanilang mga account, ayon sa ZDNet – kabilang ang mga user ng MyEtherWallet at MyMonero Crypto wallet, at desentralisadong exchange IDEX.

Napilitan din ang Google sugpuin ang mga extension na gumamit ng mga device ng mga nag-download upang magmina ng mga cryptocurrencies nang hindi nila nalalaman. Noong Abril, na-block ng Web Store ang mga extension na mimina ng mga cryptocurrencies, sinadya man o hindi ang pagmimina.

ICON ng Chrome larawan sa pamamagitan ng Shutterstock