Chrome Web Store ya no permitirá extensiones con código ofuscado
Google ha realizado varios anuncios nuevos para Chrome Web Store con el objetivo de hacer que las extensiones de Chrome sean más seguras y transparentes para sus usuarios.
En un par de años hemos visto un significativo aumento en las extensiones maliciosas que parecen ofrecer funcionalidades útiles, mientras en el fondo se ejecutan scripts maliciosos ocultos sin el conocimiento del usuario.
Sin embargo, la mejor parte es que Google es consciente de los problemas y ha estado trabajando proactivamente para cambiar la forma en que maneja las extensiones su navegador web Chrome.
A principios de este año, Google prohibió las extensiones con scripts de minería de criptomonedas y luego, en junio, la compañía también deshabilitó la instalación en línea de las extensiones de Chrome por completo. La compañía también ha estado usando tecnologías de aprendizaje automático para detectar y bloquear extensiones maliciosas.
Para dar un paso más, Google anunció el lunes cinco importantes cambios que otorgan a los usuarios más control sobre ciertos permisos, imponen medidas de seguridad y hacen que el ecosistema sea más transparente.
Estos son los nuevos cambios que Google ha incluido en Chrome 70, que está programado para llegar más adelante este mes, para hacer que las extensiones sean más seguras:
1) Nuevos permisos de host para extensiones de Chrome
Hasta ahora, si una extensión solicita permiso para leer, escribir y cambiar datos en todos los sitios web, no hay ninguna opción disponible que permita a los usuarios especificar explícitamente la lista negra o la lista blanca de un conjunto específico de sitios web.
"Si bien los permisos de host han habilitado miles de casos de uso de extensiones poderosas y creativas, también han conducido a una amplia gama de usos indebidos, maliciosos e involuntarios, porque permiten que las extensiones lean automáticamente y cambien datos en sitios web", dice James Wagner, gerente de productos de extensiones de Chrome.
Sin embargo, a partir de Chrome 70 (actualmente en beta), los usuarios podrán controlar cuándo y cómo pueden acceder a los datos del sitio las extensiones de Chrome, permitiéndoles restringir el acceso a todos los sitios y luego otorgar acceso temporal a un sitio web específico cuando sea necesario, o habilitar permisos para un conjunto específico de sitios web o todos los sitios.
Como se muestra en la captura de pantalla anterior, al hacer clic derecho en una extensión en Chrome 70, se muestra un nuevo menú que permite a los usuarios determinar si "puede leer y cambiar los datos del sitio". De ser así, se tiene la opción de elegir entre "Al hacer clic en la extensión", "en el sitio web actual" o "En todos los sitios".
Se recomienda a los desarrolladores de Chrome que realicen estos cambios en su extensión lo antes posible.
2.) Ofuscación del código de Google Bans para extensiones de Chrome
No es un secreto que, incluso después de todas las medidas de seguridad en un lugar, las extensiones maliciosas de Chrome encuentran la manera de ingresar a Chrome Web Store.
La razón es la ofuscación, una técnica destinada principalmente a proteger la propiedad intelectual de los desarrolladores de software al hacer que los programas sean más difíciles de comprender, detectar o analizar.
Sin embargo, los autores de malware a menudo usan técnicas de empaquetado u ofuscación para dificultar que los escáneres automatizados de Google revisen la extensión y detecten o analicen el código malicioso.
Según Google, más del 70% de las "extensiones maliciosas y violatorias de políticas" que bloquea contienen código ofuscado. Sin embargo, con Chrome 70, Chrome Web Store ya no permitirá extensiones con código ofuscado.
Google también argumenta que la ocultación de código no es suficiente para proteger el código de los desarrolladores de un ingeniero inverso genuinamente motivado, porque el código JavaScript siempre se ejecuta localmente en la máquina de un usuario. Además, el código de fácil acceso acelera el rendimiento.
Los nuevos envíos de extensiones a Chrome Web Store deben estar libres de código ofuscado, comenzando de inmediato, y los desarrolladores tienen 90 días para limpiar el código ofuscado de sus extensiones de Chrome, ya sea que estén en el paquete de la extensión o que se hayan obtenido de la web.
3) Verificación obligatoria en 2 pasos para desarrolladores
El año pasado, vimos una nueva ola de ataques de phishing dirigidos a secuestrar extensiones de navegadores populares a través de phishing, y luego actualizarlos con código malicioso y distribuirlos a sus decenas de millones de usuarios.
Bueno, la verificación en dos pasos puede evitar que eso suceda. A partir de enero, Google exigirá que los desarrolladores habiliten la verificación en dos pasos en sus cuentas de Chrome Web Store para reducir el riesgo de que los hackers se hagan cargo de sus extensiones.
"Si su extensión se vuelve popular, puede atraer a los atacantes que quieren robarla secuestrando su cuenta, y la verificación en dos pasos agrega una capa adicional de seguridad al requerir un segundo paso de autenticación desde su teléfono o una clave de seguridad física", dice Wagner.
4) Nuevo proceso de revisión de extensiones... ¡y es estricto!
Con Chrome 70, Google también comenzará a realizar una revisión más profunda de las extensiones que piden "permisos potentes".
Además de esto, la compañía también comenzará a monitorear de cerca las extensiones con un código alojado remotamente para detectar rápidamente cambios maliciosos.
5) Nueva versión Manifest 3 para extensiones de Chrome
Google también planea presentar una nueva versión del manifiesto de la plataforma de extensiones, versión 3, que apunta a habilitar "garantías de seguridad, privacidad y rendimiento más fuertes".
Google presentará en 2019 la versión 3 de Manifest, que reducirá el alcance de sus API, facilitará los mecanismos de control de permisos para los usuarios y admitirá nuevas capacidades web, como Service Workers, como un nuevo proceso en segundo plano.
Con más de 180.000 extensiones en Chrome Web Store, Google cree que estos nuevos cambios harán que navegar por la web sea más seguro para millones de usuarios.
