Google внедряет меры для противодействия вредоносным дополнениям к Chrome

Компания Google раскрыла планы по дальнейшему повышению защиты дополнений к Chrome и снижению числа вредоносных дополнений в каталоге Chrome Web Store.

В последнее время участились случаи захвата контроля за популярными дополнениями в целях подстановки вредоносного кода. Также периодически всплывают факты скрытого добавления авторами дополнений кода для сбора персональных данных или передачи во внешние сервисы сведений о посещениях.

Для защиты пользователей Chrome и предотвращения появления в Chrome Web Store вредоносных дополнений запланированы следующие изменения:

• В Chrome 70 пользователь сможет ограничить действие дополнения определённым списком сайтов или включить режим активации дополнения на каждой странице только после явного клика на значке дополнения в панели. Указанные возможности позволят защитить пользователя от скрытого совершения нецелевых действий, таких как выуживание со страницы персональных данных или подстановка рекламы. Конечной целью вносимых изменений является предоставление пользователю механизмов для управления доступом и отслеживания ситуаций, когда дополнение может получить доступ к данным просматриваемого сайта.



• В каталоге дополнений будет модернизирован процесс рецензирования кода. Все дополнения, запрашивающие слишком большие полномочия, будут проходить дополнительную проверку. Отдельное внимание будет уделяться выявлению дополнений, использующих код, загружаемый с внешних серверов. Разработчикам дополнений рекомендовано запрашивать только минимум необходимых полномочий и включать весь код непосредственно в архив с дополнением.

• В Chrome Web Store запрещено размещение дополнений, в которых применяется техники запутывания кода (obfuscation) с целью приведения его к нечитаемому виду, затрудняющему восстановление алгоритма работы. В том числе запрещено использование кода и ресурсов, загружаемых с внешних хостов. Новые правила применяются с сегодняшнего дня ко всем новым дополнениям. Размещённые ранее дополнения должны избавиться от подобного кода до 1 января 2019 года, в противном случае они будут удалены из каталога.

По статистике Google более 70% вредоносных и нарушающих правила дополнений, заблокированных в Chrome Web Store, включали нечитаемый код. Наличие запутанного кода существенно усложняет процесс рецензирования, негативно влияет на производительность и повышает расход памяти. Попытка оправдать запутывание защитой проприетарного кода не выдерживает критики, так как подобные техники мало помогают от обратного инжиниринга.

Отдельно подчёркивается, что минимизация кода (сокращение имён переменных и функций, слияние JavaScript-файлов, удаление лишних пробелов, комментариев, переводов строк и разделителей) по прежнему остаётся разрешённой. Под блокировку подпадает только запутывание кода, например, скрытие кода в блоках base64.

• В 2019 году для разработчиков дополнений станет обязательным применение двухфакторной аудентификации при доступе к учётным записям в Chrome Web Store. Для достижения ещё большего уровня защиты рекомендуется использовать аутентификацию на базе физических ключей.

• В 2019 году планируется предложить третью версию формата файла-манифеста, в котором будут предложены новые возможности для усиления безопасности, приватности и производительности. Целью новой версии манифеста является упрощение создания безопасных и высокопроизводительных дополнений, и усложнение возможности создания небезопасных и медленных дополнений.

Намеченной цели планируют добиться предлагая более узкоспециализированные и декларативные API, позволяющие ограничить потребность в более широком доступе и предлагающие оптимальные с точки зрения производительности решения. Кроме того, в дополнениях ожидается появление возможности фонового выполнения работ при помощи Service Workers и предоставление дополнительных упрощённых механизмов, позволяющих пользователю управлять полномочиями расширений.

По материалам opennet.ru

Комментарии:

Добавить комментарий