谷歌正在為Chrome擴展程序開發者引入更嚴格的規則,此舉將降低密碼破解和挖礦惡意軟件的風險。
這家網絡和技術巨頭週一宣佈,正計劃修改Chrome瀏覽器處理那些請求廣泛權限的擴展程序的方式,並收緊開發人員通過Chrome網絡商店分發擴展程序的規則。
谷歌在一篇博客文章中說:
“重要的是用戶能夠信任他們安裝的擴展程序是安全的、具有隱私保護的和性能正常的。擴展程序的功能和數據訪問的範圍對於用戶來說應該保持完全透明。
該公司解釋說,從Chrome 70版本(目前處於beta測試階段)開始,用戶將能夠限制擴展程序對自定義站點列表的訪問,或者設置擴展程序在每次訪問一個頁面時要求權限。
谷歌補充說,請求“強大權限”的擴展程序將受到“額外的合規性審查”。
“我們也在密切關注使用遠程託管代碼的擴展程序,並進行持續監控,”
該公司解釋了這一舉動,稱“雖然主機權限已經允許了成千上萬的強大和具有創造性的擴展程序用例,但它們也導致了廣泛的誤用——惡意的和無意的……我們的目標是提高用戶透明度,並控制何時擴展程序能夠訪問站點數據。
谷歌還表示,從週一開始,Chrome網絡商店將不再允許使用隱藏或模糊代碼的擴展程序。它補充說,現有的代碼混亂的擴展程序有90天的時間來遵守新規則。
根據這篇博文,谷歌在Chrome網絡商店封鎖的超過70%的“惡意和違反方針的擴展程序”包含混亂的代碼。此外,由於這種混淆“主要用於隱藏代碼功能”,它大大增加了谷歌擴展程序審查過程的複雜性。
谷歌表示:“考慮到前面提到的審查過程的變化,這種混淆不再是可以接受的。”
在2019年的最後一項安全措施中,所有的擴展程序開發者賬戶都必須通過兩步驗證來保護,以降低黑客入侵賬戶的風險。
過去,網絡犯罪分子曾使用Chrome擴展程序來訪問受害者的電腦。
例如,就在一個月前,黑客們將一個惡意版本的Mega擴展程序上傳到了網絡商店。根據ZDNet的說法,在接下來的幾個小時裡使用官方安裝程序的人的賬戶被洩露了——包括MyEtherWallet和MyMonero加密貨幣錢包的用戶,以及去中心化交易所IDEX的用戶。
谷歌還被迫打擊使用下載者設備在不知情的情況下挖掘加密貨幣的擴展程序。今年4月,Chrome網絡商店封鎖了挖掘加密貨幣的擴展程序,無論這種挖礦是否是故意的。
閱讀更多 31QU 的文章
