Корпорація Google оголосила про посилення вимог до розробників додатків для браузера Chrome. Як повідомляється в блозі ІТ-гіганта, в тому числі цей крок спрямований на захист користувачів від додатків, що містять скрипти для майнінг або інше шкідливе ПЗ, використовуване для злому криптовалютных гаманців.
Відзначається, що в першу чергу зміни стосуються доповнень, що потребують дозволу на широкий доступ відразу до декількох функцій комп’ютера або пристрою.
«Дуже важливо, щоб користувачі могли бути впевнені, що встановлюють безпечні, продуктивні і зберігають конфіденційність додатки. Інформація про масштаб можливостей і доступу доповнень завжди повинна бути прозорою», — йдеться в повідомленні Google.
Так, починаючи з версії Chrome 70, в даний час знаходиться на стадії бета-тестування, у користувачів з’явиться можливість обмежувати доступ доповнень до певних сайтів. Крім того, в налаштуваннях можна буде зобов’язати доповнення запитувати дозвіл кожен раз, коли їм потрібен який-небудь доступ.
У той же час доповнення, що вимагають «істотних дозволів», піддадуться «додаткового розгляду на предмет дотримання вимог».
«Ми дуже уважно стежимо і вивчаємо доповнення, які використовують віддалено зберігається код. У той час як користувальницькі дозволу дозволили запустити тисячі важливих і креативних додатків, вони в той же час призвели до появи і широкого спектру зловживань — як злочинних, так і випадкових. Наше головне завдання — підвищити рівень прозорості та користувацького контролю над тим, коли доповненням дозволено отримувати доступ до даних різних сайтів», — наголошується в блозі.
Так, з 1 жовтня до магазину Chrome Web Store більше не будуть допускатися доповнення, що містять прихований або замаскований код. У розробників додатків з подібною «начинкою», викладених на платформі в минулому, тепер є 90 днів, щоб привести свої програми у відповідність з новими правилами.
Як наголошується в блозі, більше 70% «шкідливих або порушують правила доповнень», які Google блокує, так чи інакше містять прихований код. У той же час, оскільки маскування коду «в основному застосовується для приховування його функціоналу», процес розгляду заявок від розробників був значно ускладнений.
Крім того, починаючи з 2019 року всі існуючі акаунти розробників додатків буде зобов’язані включити двофакторну авторизацію, щоб знизити ризик злому і захоплення їх облікових записів зловмисниками, говориться в блозі.
Нагадаємо, в минулому доповнення Google Chrome вже неодноразово використовувалися для незаконної діяльності. Наприклад, на початку вересня жертвою хакерської атаки виявилося офіційне розширення MEGA. Тоді з’ясувалося, що взломанное розширення стало здатне викрадати логіни та паролі користувачів, у тому числі від криптовалютных гаманців.
Також дослідник загроз кібербезпеки з Словаччини Лукас Стефанко у серпні повідомив, що виявив в Google Play шахрайське додаток під назвою Ethereum, яке можна було придбати за 335 євро або 388 доларів. У той же час, як показало недавнє дослідження, 920 000 серверів в даний час уразливі для «криптоджекера» Wannamine.
Thanks!
Our editors are notified.