O Google fez vários novos anúncios para sua Chrome Web Store, que visa tornar as extensões do Chrome mais seguras e transparentes para seus usuários.
Em alguns anos, vimos um aumento significativo de extensões maliciosas que parecem oferecer funcionalidades úteis, enquanto executamos scripts maliciosos ocultos em segundo plano, sem o conhecimento do usuário.
No entanto, a melhor parte é que o Google está ciente dos problemas e tem trabalhado proativamente para mudar a forma como o seu navegador da Web Chrome lida com as extensões.
No início deste ano, o Google proibiu extensões usando scripts de mineração de criptografia e, em junho, a empresa também desativou a instalação em linhade extensões do Chrome completamente. A empresa também usa tecnologias de aprendizado de máquina para detectar e bloquear extensões maliciosas.
Para dar um passo à frente, o Google anunciou na segunda-feira cinco grandes mudanças que dão aos usuários mais controle sobre certas permissões, reforçam as medidas de segurança, além de tornar o ecossistema mais transparente.
Estas são as novas alterações que o Google incluiu no Chrome 70, programado para chegar no final deste mês, para tornar as extensões mais seguras:
1) Novas permissões de host para extensões do Google Chrome
Até agora, se uma extensão pedir permissão para ler, escrever e alterar dados em todos os sites, não há nenhuma opção disponível usando quais usuários podem incluir lista negra ou lista branca de sites específicos.
"Embora as permissões de host tenham habilitado milhares de casos de uso de extensão poderosos e criativos, eles também levaram a uma ampla gama de uso indevido - malicioso e não intencional - porque permitem que as extensões leiam e alterem dados automaticamente em sites", diz James Wagner, Chrome gerente de produto de extensões.
No entanto, a partir do Chrome 70 (atualmente in-beta), os usuários poderão controlar quando e como as extensões do Chrome podem acessar dados do site, permitindo que eles restrinjam o acesso a todos os sites e concedam acesso temporário a um site específico quando necessário. permitir permissões para um conjunto específico de sites ou todos os sites.
Conforme mostrado na captura de tela acima, clicar com o botão direito do mouse em uma extensão no Chrome 70 revela um novo menu que permite aos usuários determinar se "pode ler e alterar dados do site". Nesse caso, você tem a opção de escolher entre "Quando você clica na extensão", "no site atual" ou "Em todos os sites".
Extensão do Chrome Os desenvolvedores são aconselhados a fazer essas alterações em suas extensões o mais rápido possível.
2.) Google ilude a ofuscação do código para extensões do Google Chrome
Não é segredo que, mesmo após todas as medidas de segurança em um lugar, as extensões maliciosas do Google Chrome encontram formas de acessar a Chrome Web Store.
A razão é a ofuscação - uma técnica voltada principalmente para proteger a propriedade intelectual de desenvolvedores de software, tornando os programas mais difíceis de entender, detectar ou analisar.
No entanto, os autores de malware costumam usar técnicas de empacotamento ou ofuscação para dificultar que os scanners automáticos do Google analisem a extensão e detectem ou analisem o código malicioso. Segundo o Google, mais de 70% das "extensões violadoras de políticas e maliciosas" que bloqueia contêm código ofuscado. No entanto, com o Chrome 70, a Chrome Web Store não permitirá mais extensões com código ofuscado.
O Google também argumenta que a ofuscação de código é insuficiente para proteger o código de desenvolvedores de uma engenharia reversa genuinamente motivada, porque o código JavaScript está sempre sendo executado localmente na máquina de um usuário. Além disso, o código facilmente acessível acelera o desempenho.
Os novos envios de extensões para a Chrome Web Store precisam ficar livres de código ofuscado, e os desenvolvedores precisam de 90 dias para limpar suas extensões do Chrome de código ofuscado, seja no pacote de extensão ou obtido da Web.
3) Verificação obrigatória em duas etapas para desenvolvedores
No ano passado, assistimos a uma nova onda de ataques de phishing com o objetivo de seqüestrar extensões de navegadores populares por meio do phishing e, depois, atualizá-las com códigos maliciosos e distribuí-las para dezenas de milhões de usuários.
Bem, a verificação em duas etapas pode impedir que isso aconteça. A partir de janeiro, o Google exigirá que os desenvolvedores habilitem a verificação em duas etapas nas contas da Chrome Web Store para reduzir o risco de invasores assumirem suas extensões .
"Se o seu ramal se tornar popular, ele pode atrair invasores que querem roubá-lo ao sequestrar sua conta , e a verificação em duas etapas adiciona uma camada extra de segurança exigindo uma segunda etapa de autenticação do seu telefone ou uma chave de segurança física", diz Wagner .
4) Novo processo de revisão de extensões… e é estrito!
Com o Chrome 70, o Google também começará a realizar uma análise mais detalhada das extensões que pedem "permissões poderosas". Além disso, a empresa também começará a monitorar de perto as extensões com um código hospedado remotamente para detectar alterações maliciosas rapidamente.
5) Nova versão do manifesto 3 para extensões do Chrome
O Google também planeja introduzir uma nova versão do manifesto da plataforma de extensões, versão 3, que visa permitir "segurança, privacidade e garantias de desempenho mais fortes".
O Google apresentará a versão 3 do Manifesto em 2019, que reduzirá o escopo de suas APIs, tornará os mecanismos de controle de permissões mais fáceis para os usuários e oferecerá suporte a novos recursos da Web, como os Service Workers, como um novo processo em segundo plano.
Com mais de 180.000 extensões na Chrome Web Store, o Google acredita que essas novas alterações tornariam a navegação na Web mais segura para milhões de usuários.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário