Корпорация Google объявила об ужесточении требований к разработчикам дополнений для браузера Chrome. Как сообщается в блоге ИТ-гиганта, в том числе этот шаг направлен на защиту пользователей от приложений, содержащих скрипты для майнинга или другое вредоносное ПО, используемое для взлома криптовалютных кошельков.
Отмечается, что в первую очередь изменения касаются дополнений, требующих разрешения на широкий доступ сразу к нескольким функциям компьютера или устройства.
«Очень важно, чтобы пользователи могли быть уверены, что устанавливают безопасные, производительные и сохраняющие конфиденциальность приложения. Информация о масштабе возможностей и доступа дополнений всегда должна быть прозрачна», — говорится в сообщении Google.
Так, начиная с версии Chrome 70, в настоящее время находящейся на стадии бета-тестирования, у пользователей появится возможность ограничивать доступа дополнений к определенным сайтам. Кроме того, в настройках можно будет обязать дополнения запрашивать разрешение каждый раз, когда им нужен какой-либо доступ.
В то же время дополнения, требующие «существенных разрешений», подвергнутся «дополнительному рассмотрению на предмет соблюдения требований».
«Мы очень внимательно следим и изучаем дополнения, которые используют удаленно хранящийся код. В то время как пользовательские разрешения позволили запустить тысячи важных и креативных приложений, они в то же время привели к появлению и широкого спектра злоупотреблений — как злоумышленных, так и случайных. Наша главная задача — увеличить уровень прозрачности и пользовательского контроля над тем, когда дополнениям разрешено получать доступ к данным различных сайтов», — отмечается в блоге.
Так, с 1 октября в магазин Chrome Web Store больше не будут допускаться дополнения, содержащие скрытый или замаскированный код. У разработчиков приложений с подобной «начинкой», выложенных на платформе в прошлом, теперь есть 90 дней, чтобы привести свои программы в соответствие с новыми правилами.
Как отмечается в блоге, более 70% «вредоносных или нарушающих правила дополнений», которые Google блокирует, так или иначе содержат скрытый код. В то же время, поскольку маскировка кода «в основном применяется для скрытия его функционала», процесс рассмотрения заявок от разработчиков был значительно усложнен.
Кроме того, начиная с 2019 года все существующие аккаунты разработчиков дополнений будет обязаны включить двухфакторную авторизацию, чтобы снизить риск взлома и захвата их учетных записей злоумышленниками, говорится в блоге.
Напомним, в прошлом дополнения Google Chrome уже неоднократно использовались для незаконной деятельности. Например, в начале сентября жертвой хакерской атаки оказалось официальное расширение MEGA. Тогда выяснилось, что взломанное расширение стало способно похищать логины и пароли пользователей, в том числе от криптовалютных кошельков.
Также исследователь угроз кибербезопасности из Словакии Лукас Стефанко в августе сообщил, что обнаружил в Google Play мошенническое приложение под названием Ethereum, которое можно было приобрести за 335 евро или 388 долларов. В то же время, как показало недавнее исследование, 920 000 серверов в настоящее время уязвимы для «криптоджекера» Wannamine.
Спасибо!
Теперь редакторы в курсе.