Google вводит более строгие правила для разработчиков расширений браузера Chrome. Этот шаг призван уменьшить риск связанных с криптовалютами взломов и криптоджекинга.
1 октября Google объявила о том, что планирует внести серию изменений в способы обработки расширений в браузере Chrome, а также ужесточить правила для разработчиков, которые распространяют плагины через Chrome Web Store.
В своём блоге компания заявила:
Крайне важно, чтобы пользователи могли доверять устанавливаемым расширениям, которые должны быть безопасными и эффективными. Нам следует обеспечить пользователям полную ясность в отношении доступа к их данным и возможностей этих расширений.
Компания объясняет, что в Chrome 70 у пользователей будет возможность ограничивать доступ к списку сайтов или устанавливать такие расширения, которые будут просить разрешение для доступа к определённым страницам.
Google также отмечает, что расширения с высоким уровнем доступа будут подвергаться дополнительной проверке. Компания подчёркивает, что внимательно изучает плагины, использующие удалённый код, и объясняет этот шаг следующим образом:
Наша цель состоит в повышении прозрачности и усилении контроля над расширениями, которые могут получать доступ к данным сайтов.
Компания также заявила, что с 1 октября Chrome Web Store запретит плагины со скрытым или запутанным кодом. У существующих расширений есть 90 дней на исправление этой проблемы.
В сообщении говорится, что более 70% плагинов, блокируемых Google в Chrome Web Store как «наносящие вред и нарушающие политику [компании]», также содержат запутанный код. Запутывание кода часто используется для сокрытия его функциональности, что значительно усложняет процесс проверки.
С 2019 года Google будет требовать, чтобы все аккаунты разработчиков расширений были защищены при помощи двухэтапной аутентификации, чтобы снизить риск взлома аккаунтов.
Ранее киберпреступники уже использовали плагины Chrome для получения доступа к компьютерам жертв. Например, месяц назад хакеры загрузили в Chrome Web Store вредоносную версию расширения Mega. В результате среди пострадавших оказались пользователи кошельков MyEtherWallet, MyMonero, а также децентрализованной биржи IDEX.
Отметим, что компания применяет жёсткие меры к расширениям, которые используют устройства пользователей для майнинга криптовалют без их ведома. В апреле Chrome Web Store заблокировал плагины, содержащие встроенные майнеры, независимо от того, преднамеренная это опция или нет. Нынешнее ужесточение правил в том числе призвано эффективнее противостоять криптоджекингу.