Google анонсировал предстоящие изменения, касающиеся разработки новых расширений для Chrome. Пользователи веб-браузера получат защиту от вредоносных программ, включая скрытые майнеры и инструменты, используемые для кражи криптовалюты.
Google продолжает борьбу со скрытым майнингом
Понимая, насколько важно для пользователей, чтобы установленные ими приложения не только хорошо работали, но и были безопасными и конфиденциальными, Google предпринял шаги для обнаружения вредоносных надстроек в своем браузере с помощью методов машинного обучения. Теперь компания объявила о новых изменениях, направленных на то, чтобы сделать все расширения Chrome надежными по умолчанию. Это значит, что среди прочего, будут предотвращены крипто-взлом и скрытый майнинг.
Ранее мы уже писали о том, что в июле 2018 года Google удалил все расширения, предназначенные для майнинга криптовалют.
Скрытый майнинг, или криптоджекинг — это процесс добычи криптовалюты без ведома владельца компьютера, осуществляемый с помощью зловредных программ-майнеров или расширений для браузеров. Так же они могут воровать пароли от ваших аккаунтов, криптокошельков и банковских приложений. Скрытый майнинг наносит значительный ущерб мировой экономике. Согласно отчету Национального центра кибербезопасности (NCSC), от его атак пострадали 55% представителей бизнеса по всему миру.
Контроль за доступом для расширений
В новой версии Chrome 70, чей запуск планируется на середину октября 2018 года, будет введена возможность ограничения доступа различных расширений к сайтам, которые использует пользователь. Кроме того, будет возможность настроить расширения запрашивать подтверждение при попытке получить доступ к определенной странице. Разрешения хоста позволяют расширениям автоматически считывать и изменять данные на веб-сайтах, что во многих случаях приводит к злонамеренному использованию.
«Наша цель состоит в том, чтобы контролировать доступ расширений к данным сайтов. В будущем мы продолжим оптимизировать взаимодействие с пользователем для достижения этой цели, одновременно повышая удобство использования», — говорится в сообщениях компании.
В новой версии Chrome продвинутые пользователи получат возможность давать расширениям доступ только к тем сайтам, к которым разрешает сам человек, использующий их.
Далее Google заявил, что в будущем расширения, запрашивающие мощные разрешения, будут подвергаться дополнительной проверке соответствия. Команда, которая занимается разработкой этих изменений, также будет анализировать расширения, использующие удаленно размещенный код.
Борьба с запутанным кодом
Согласно другому, уже введенному изменению в правилах, регулирующих процесс проверки новых расширений, интернет-магазин Chrome больше не будет разрешать расширения с обфусцированным (запутанным) кодом. Это код программы, умышленно усложненный программой-Обфускатором для затруднения его анализа при сохранении работоспособности. Новая политика, которая применяется к подаче новых материалов для расширений, относится как к коду в пакете расширения, так и к любому внешнему коду или другому ресурсу, полученному из интернета.
Уже существующие в интернет-магазине расширения с обфусцированным кодом пока могут продолжать свою работу, но у них есть 90 дней, чтобы изменить код, в противном случае они будут удалены из-за несоответствовия новым требованиям. Компания утверждает, что 70% расширений, которые блокируются в Google, содержат запутанный код. Многие из них являются вредоносными или нарушают действующие правила.
Двухфакторная идентификация для разработчиков
Другие изменения касаются самих разработчиков расширений. Они включают введение обязательной двухфакторной проверки для их учетных записей. Это такой метод идентификации пользователя, который запрашивает данных двух разных типов, для обеспечения наиболее продвинутой защиты аккаунтов от взлома. Обычно это проходит так: сначала, первым шагом, владелец вводит логин и пароль, а затем, вторым — специальный код, приходящий по SMS или e-mail. Эта мера повысит их безопасность и защитит от участившихся в последнее время взломов аккаунтов, с последующим распространением вредоносного кода. В силу эти правила планируют ввести в 2019 году.