谷歌計劃實施更嚴格Chrome擴充套件程式規則 降低挖礦惡意軟體風險
谷歌正在為Chrome擴充套件程式開發者引入更嚴格的規則,此舉將降低密碼破解和挖礦惡意軟體的風險。
這家網路和技術巨頭週一宣佈,正計劃修改Chrome瀏覽器處理那些請求廣泛許可權的擴充套件程式的方式,並收緊開發人員通過Chrome網路商店分發擴充套件程式的規則。谷歌在一篇部落格文章中說:
“重要的是使用者能夠信任他們安裝的擴充套件程式是安全的、具有隱私保護的和效能正常的。擴充套件程式的功能和資料訪問的範圍對於使用者來說應該保持完全透明。
該公司解釋說,從Chrome 70版本(目前處於beta測試階段)開始,使用者將能夠限制擴充套件程式對自定義站點列表的訪問,或者設定擴充套件程式在每次訪問一個頁面時要求許可權。谷歌補充說,請求“強大許可權”的擴充套件程式將受到“額外的合規性審查”。
“我們也在密切關注使用遠端託管程式碼的擴充套件程式,並進行持續監控,”
該公司解釋了這一舉動,稱“雖然主機許可權已經允許了成千上萬的強大和具有創造性的擴充套件程式用例,但它們也導致了廣泛的誤用——惡意的和無意的……我們的目標是提高使用者透明度,並控制何時擴充套件程式能夠訪問站點資料。谷歌還表示,從週一開始,Chrome網路商店將不再允許使用隱藏或模糊程式碼的擴充套件程式。它補充說,現有的程式碼混亂的擴充套件程式有90天的時間來遵守新規則。
根據這篇博文,谷歌在Chrome網路商店封鎖的超過70%的“惡意和違反方針的擴充套件程式”包含混亂的程式碼。此外,由於這種混淆“主要用於隱藏程式碼功能”,它大大增加了谷歌擴充套件程式審查過程的複雜性。
谷歌表示:“考慮到前面提到的審查過程的變化,這種混淆不再是可以接受的。”
在2019年的最後一項安全措施中,所有的擴充套件程式開發者賬戶都必須通過兩步驗證來保護,以降低黑客入侵賬戶的風險。過去,網路犯罪分子曾使用Chrome擴充套件程式來訪問受害者的電腦。
例如,就在一個月前,黑客們將一個惡意版本的Mega擴充套件程式上傳到了網路商店。根據ZDNet的說法,在接下來的幾個小時裡使用官方安裝程式的人的賬戶被洩露了——包括MyEtherWallet和MyMonero加密貨幣錢包的使用者,以及去中心化交易所IDEX的使用者。
谷歌還被迫打擊使用下載者裝置在不知情的情況下挖掘加密貨幣的擴充套件程式。今年4月,Chrome網路商店封鎖了挖掘加密貨幣的擴充套件程式,無論這種挖礦是否是故意的。