Google внедряет меры для противодействия вредоносным дополнениям к Chrome

Компания Google раскрыла планы по дальнейшему повышению защиты дополнений к Chrome, нацеленные на снижение числа вредоносных дополнений в каталоге Chrome Web Store. В последнее время участились случаи захвата контроля за популярными дополнениями в целях подстановки вредоносного кода. Также периодически всплывают факты скрытого добавления авторами дополнений кода для сбора персональных данных или передачи во внешние сервисы данных о посещениях.

Для защиты пользователей Chrome и предотвращения появления в Chrome Web Store вредоносных дополнений запланированы следующие изменения:

• В Chrome 70 пользователь сможет ограничить действие дополнения определенным списком сайтов или включить режим активации дополнения на каждой странице только после явного клика на значке дополнения в панели. Указанные возможности позволят защитить пользователя от скрытого совершения нецелевых действий, таких как выуживание со страницы персональных данных или подстановка рекламы, вызванных злонамеренными действиями создателей или захватом третьими лицами контроля за дополнениями. Конечной целью вносимых изменений является предоставление пользователю механизмов для управления и отслеживания ситуаций, когда дополнение может получить доступ к данным просматриваемого сайта.
• В каталоге дополнений будет модернизирован процесс рецензирования кода. Все дополнения, запрашивающие слишком большие полномочия, будут проходить дополнительную проверку. Отдельное внимание будет уделяться выявлению дополнений, использующих код, загружаемый с внешних серверов. Разработчикам дополнений рекомендовано запрашивать только минимум необходимых полномочий и включать весь код непосредственно в архив с дополнением;
• В Chrome Web Store запрещено размещение дополнений, в которых применяется техники запутывания кода (obfuscation) с целью приведения его к нечитаемому виду, затрудняющему восстановление алгоритма работы. В том числе запрещено использование кода и ресурсов, загружаемых с внешних хостов. Новые правила применяются с сегодняшнего дня ко всем новым дополнениям. Размещенные ранее дополнения должны избавиться от подобного кода до 1 января 2019 года, в противном случае они будут удалены из каталога.
  
  По статистике Google более 70% вредоносных и нарушающих правила дополнений, заблокированных в Chrome Web Store, включали нечитаемый код. Наличие запутанного кода существенно усложняет процесс рецензирования, негативной влияет на производительность и повышает расход памяти. Попытка оправдать запутывание защитой пропритарного кода не выдерживает критики, так как подобные техники мало помогают от обратного инжиниринга.
  
  Отдельно подчеркивается, что минимизация кода (сокращение имен переменных и функций, слияние JavaScript-файлов, удаление лишних пробелов, комментариев, переводов строк и разделителей) по прежнему остается разрешенной, речь только о запутывании кода, например, скрытия кода в блоках base64.
• В 2019 году для разработчиков дополнений станет обязательным применение двухфакторной аудентификации при доступе к учетным записям в Chrome Web Store. Для достижения более высокого уровня защиты также рекомендуется использовать аутентификацию на базе физических ключей;
• В 2019 году планируется предложить третью версию формата файла-манифеста, в котором будут предложены новые возможности для усиления безопасности, приватности и производительности. Целью новой версии манифеста является упрощение создания безопасных и высокопроизводительных дополнений, и усложнение возможности создания небезопасных и медленных дополнений.
  
  Намеченной цели планируется добиться предлагая более узкоспециализированные и декларативные API, позволяющие ограничить потребность в более широком доступе и предлагающие оптимальные с точки производительности решения. Кроме того, ожидается появление возможности фонового выполнения работ при помощи Service Workers и предоставление дополнительных упрощенных механизмов, позволяющих пользователю управлять полномочиями расширений.