Las extensiones con código ofuscado están prohibidas y los desarrolladores deben pasar por un proceso de revisión de extensiones más estricto.
Google anunció el 1 de octubre cambios importantes en Chrome Web Store mientras la empresa intenta eliminar las extensiones maliciosas que continuamente han aparecido en su plataforma a lo largo de los años.
El conjunto de mejoras de seguridad incluye un proceso de revisión de extensiones más estricto, nuevos requisitos de lectura de código que bloquean extensiones con código ofuscado, verificación en dos pasos requerida, controles de usuario para permisos de host y una nueva versión de manifiestos de extensiones futuras (destinada a ayudar a los desarrolladores a escribir extensiones seguras).
"Recientemente hemos tomado una serie de medidas para mejorar la seguridad de las extensiones con el lanzamiento de iFrames fuera de proceso, la eliminación de la instalación en línea y los avances significativos en nuestra capacidad para detectar y bloquear extensiones maliciosas mediante el aprendizaje automático", dijo James Wagner , Gerente de producto de Extensiones de Chrome, en una publicación del lunes . "De cara al futuro, se necesitan cambios más fundamentales para que todas las extensiones de Chrome sean confiables de manera predeterminada".
Como primer paso, desde hoy, Chrome Web Store ya no permitirá extensiones con código ofuscado, un método que se usa principalmente para ocultar la funcionalidad del código. Wagner dijo que la ofuscación se usa en más del 70 por ciento de las extensiones maliciosas bloqueadas de Chrome Web Store.
Los desarrolladores que tienen extensiones en la tienda con código ofuscado pueden enviar una nueva versión compatible que use "minificación": el proceso de eliminar datos innecesarios o redundantes sin afectar la forma en que el navegador procesa el recurso.
También se lanzará esta semana un proceso renovado de revisión de extensiones, que requiere extensiones que requieren poderosos permisos para someterse a una revisión de cumplimiento adicional.
"También estamos estudiando detenidamente las extensiones que usan código alojado remotamente, con un monitoreo continuo", dijo Wagner. "Los permisos de su extensión deben tener el alcance más estricto posible, y todo su código debe incluirse directamente en el paquete de extensión, para minimizar el tiempo de revisión".
A partir de Chrome 70 (la próxima versión de Google Chrome se lanzará a mediados de octubre), los usuarios tendrán una nueva opción para restringir el acceso del host a una lista personalizada de sitios web, así como requerir extensiones para esperar a que el usuario haga clic antes de acceder la página de inicio
Wagner dijo que Google espera que la medida disminuya el uso indebido de la extensión: "Nuestro objetivo es mejorar la transparencia del usuario y controlar cuándo las extensiones pueden acceder a los datos del sitio", dijo.
En 2019, se implementarán los dos últimos cambios de Google Chrome. Google en 2019 requerirá que las cuentas de desarrollador de Chrome Web Store se inscriban en la verificación en dos pasos. Esta característica agrega una capa adicional de seguridad a las extensiones populares al requerir un segundo paso de autenticación desde un dispositivo móvil o una clave de seguridad física.
También en 2019, Google planea presentar la próxima versión de manifiestos de extensiones, denominada Manifest v3. Esta versión promoverá API con un alcance más estricto, lo que disminuirá la necesidad de un acceso excesivamente amplio, así como mecanismos adicionales y más fáciles para que los usuarios controlen los permisos concedidos a las extensiones.
"Manifest v3 implicará cambios de plataforma adicionales que apuntan a crear garantías más sólidas de seguridad, privacidad y rendimiento", dijo Wagner. "Queremos ayudar a todos los desarrolladores a caer en la trampa del éxito; escribir una extensión segura y eficaz en Manifest v3 debería ser fácil, mientras que escribir una extensión insegura o no efectiva debería ser difícil ".
Chrome ha sido una y otra vez objetivo de extensiones maliciosas. En enero , los investigadores descubrieron cuatro extensiones maliciosas en la tienda web Google Chrome oficial con un recuento combinado de usuarios de más de 500,000. Una extensión en 2017 fue utilizada infamemente por delincuentes brasileños para cometer fraude bancario, mientras que otra, encontrada en 2017 , descargó e instaló un archivo .cab en las computadoras de las víctimas, que capturaron toda la información que ingresaron en cualquier sitio web y la enviaron a un servidor remoto.
Fecha actualización el 2021-10-03. Fecha publicación el 2018-10-03. Categoría: chrome Autor: Oscar olg Mapa del sitio Fuente: threatpost