Google намагається захистити користувачів Chrome від шифрування та злому

Google запроваджує суворіші правила для розробників розширень Chrome, цей крок має зменшити ризик Крипто та шкідливого програмного забезпечення для майнінгу.

Оголошений у понеділок гігант веб- Технології планує низку змін у тому, як Chrome обробляє розширення, які Request широкі дозволи, а також посилює правила для розробників, які розповсюджують розширення через веб-магазин Chrome.

Google сказав у a публікація в блозі:

«Надзвичайно важливо, щоб користувачі могли бути впевненими в тому, що розширення, які вони встановлюють, безпечні, зберігають конфіденційність і працюють. Користувачі повинні завжди мати повну прозорість щодо можливостей своїх розширень і доступу до даних».

Починаючи з Chrome 70 (наразі в бета-версії), користувачі матимуть можливість обмежити доступ розширення до спеціального списку сайтів або налаштувати розширення на запит дозволу кожного разу, коли їм потрібно отримати доступ до сторінки, пояснює компанія.

Google додає, що розширення, які Request «потужні дозволи», будуть піддаватися «додатковій перевірці відповідності».

«Ми також дуже уважно розглядаємо розширення, які використовують віддалено розміщений код, з постійним моніторингом», — йдеться у дописі.

Фірма пояснює цей крок, кажучи: «Хоч дозволи хосту дозволили використовувати тисячі потужних і креативних розширень, вони також призвели до широкого спектру зловживань — як зловмисних, так і ненавмисних... Наша мета — покращити прозорість для користувачів і контролювати, коли розширення можуть отримувати доступ до даних сайту».

Google також повідомила, що з понеділка веб-магазин Chrome більше не допускатиме розширення з прихованим або заплутаним кодом. Існуючі розширення з обфусцованим кодом мають 90 днів, щоб відповідати новому правилу, додає він.

Згідно з дописом, понад 70 відсотків «шкідливих розширень і розширень, що порушують Політика », які Google блокує у Веб-магазині, містять заплутаний код. Крім того, оскільки обфускація «головним чином використовується для приховування функціональності коду», це значно ускладнює процес перегляду розширень Google.

«Це більше неприйнятно, враховуючи вищезгадані зміни в процесі перевірки», — заявили в Google.

І в якості останнього заходу безпеки, у 2019 році всі облікові записи розробників розширень повинні бути захищені двоетапною перевіркою, щоб знизити ризик захоплення облікового запису хакерами.

Раніше кіберзлочинці використовували розширення Chrome для надання доступу до комп’ютерів жертв.

Наприклад, лише місяць тому хакери завантажили шкідливу версію розширення Mega у веб-магазин. Згідно з даними, облікові записи людей, які використовували офіційний інсталятор протягом наступних кількох годин, були зламані ZDNet – включаючи користувачів Крипто MyEtherWallet і MyMonero, а також децентралізованої біржі IDEX.

Google також був змушений це зробити розправитися з розширеннями які використовували пристрої завантажувачів для майнінгу криптовалюти без їх відома. У квітні Веб-магазин заблокував розширення, які видобують криптовалюту, незалежно від того, чи був видобуток навмисним.

ICON Chrome зображення через Shutterstock