Google принимает меры по защите пользователей Chrome от криптоджекинга и взломов

Google вводит более строгие правила для разработчиков расширений Chrome. Этот шаг должен снизить риск Криптo взломов и вредоносного ПО для майнинга.

В понедельник было объявлено, что гигант в сфере интернета и Технологии планирует внести ряд изменений в обработку расширений Chrome, Request обширные разрешения, а также ужесточить правила для разработчиков, распространяющих расширения через Chrome Web Store.

Google сказал взапись в блоге:

«Крайне важно, чтобы пользователи могли быть уверены в том, что установленные ими расширения безопасны, сохраняют конфиденциальность и эффективны. Пользователи всегда должны иметь полную прозрачность относительно объема возможностей своих расширений и доступа к данным».

Компания поясняет, что начиная с Chrome 70 (в настоящее время находящегося в стадии бета-тестирования) пользователи смогут ограничивать доступ расширения к пользовательскому списку сайтов или настраивать расширения так, чтобы они запрашивали разрешение каждый раз, когда им необходимо получить доступ к странице.

Google добавляет, что расширения, Request «значительные разрешения», будут подвергаться «дополнительной проверке на соответствие».

«Мы также очень внимательно изучаем расширения, использующие удаленно размещенный код, и осуществляем постоянный мониторинг», — говорится в сообщении.

Компания объясняет этот шаг следующим образом: «Хотя разрешения на доступ к хосту позволили реализовать тысячи эффективных и креативных вариантов использования расширений, они также привели к широкому спектру неправомерного использования — как вредоносного, так и непреднамеренного... Наша цель — повысить прозрачность для пользователей и контроль над тем, когда расширения могут получать доступ к данным сайта».

Google также заявил, что с понедельника Chrome Web Store больше не будет разрешать расширения со скрытым или запутанным кодом. У существующих расширений с запутанным кодом есть 90 дней, чтобы соответствовать новому правилу, добавляет он.

Согласно сообщению, более 70 процентов «вредоносных и нарушающих Политика расширений», которые Google блокирует в интернет-магазине, содержат запутанный код. Кроме того, поскольку запутывание «в основном используется для сокрытия функциональности кода», оно значительно усложняет процесс проверки расширений Google.

«Это больше не приемлемо, учитывая вышеупомянутые изменения в процессе рассмотрения», — заявили в Google.

И наконец, в качестве последней меры безопасности в 2019 году все учетные записи разработчиков расширений должны быть защищены двухэтапной аутентификацией, чтобы снизить риск взлома учетной записи хакерами.

В прошлом киберпреступники использовали расширения Chrome для получения доступа к компьютерам жертв.

Например, всего месяц назад хакеры загрузили вредоносную версию расширения Mega в интернет-магазин. У людей, которые использовали официальный установщик в течение следующих нескольких часов, были скомпрометированы аккаунты, согласноZDNet – включая пользователей Криптo MyEtherWallet и MyMonero, а также децентрализованной биржи IDEX.

Google также был вынужденпресечь расширениякоторые использовали устройства загрузчиков для майнинга криптовалют без их ведома. В апреле Web Store заблокировал расширения, которые майнят криптовалюты, независимо от того, был ли майнинг преднамеренной функцией.

ICON хромаизображение через Shutterstock