Обновление Chrome усиливает пользовательский контроль над расширениями

Начиная с версии 25 Google Chrome, расширения браузера, установленные в автономном режиме другими приложениями, не будут включены, пока пользователи не дадут свое разрешение через диалоговое окно в интерфейсе браузера.

В когда разработчики имеют несколько вариантов установки расширений в автономном режиме - не используя интерфейс браузера - в Google Chrome для Windows. Один из них включает в себя добавление специальных записей в реестр Windows, которые сообщают Chrome, что новое расширение установлено и должно быть включено.

«Эта функция изначально была предназначена для того, чтобы разрешить пользователям добавлять полезное расширение в Chrome как часть установки другого приложения », - заявил Питер Людвиг, менеджер по продуктам Google Chrome Extensions, в пятницу в блоге. «К сожалению, эта функция широко нарушена третьими лицами, чтобы тихо устанавливать расширения в Chrome без надлежащего подтверждения от пользователей».

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Чтобы предотвратить этот тип из-за злоупотребления, начиная с Chrome 25, браузер автоматически отключит все ранее установленные «внешние» расширения и предоставит пользователям одноразовое диалоговое окно для выбора тех, которые они хотят включить.

Кроме того, все расширения которые устанавливаются с использованием автономных методов, будут отключены по умолчанию, и пользователю будет предложено включить ли они их при перезапуске браузера.

Mozilla реализовала очень похожий механизм за год назад в Firefox, чтобы предотвратить расширение установленных автономных другие программы могут быть включены без подтверждения пользователя.

Вопросы безопасности

Многие атаки используют вредоносные расширения браузера, включая расширения Chrome. Например, в мае Фонд Викимедиа выпустил предупреждение о расширении Google Chrome, которое вставляло рекламу изгоев на страницы Википедии.

В июле Google прекратила использование расширений Chrome с сторонних веб-сайтов, ограничив только онлайн-установки для расширений, найденных в официальном Интернет-магазине Chrome.

Это затрудняло распространение злоумышленниками злоумышленников, но не предотвращало вредоносное ПО от установки устаревших расширений Chrome в уже скомпрометированной системе с использованием автономных методов. Предстоящие изменения в Chrome 25 направлены на решение этой проблемы.

«Я считаю, что это хороший шаг в правильном направлении, что является более безопасным опытом просмотра», - сказал в понедельник по электронной почте Золтан Балазз, исследователь по ИТ-безопасности из Венгрии. Балазы ранее создали доказательство злонамеренных расширений для Firefox, Chrome и Safari, чтобы продемонстрировать, насколько мощными могут быть такие инструменты в руках атакующих.

Исследование Balazs, которое было представлено на нескольких конференциях по безопасности в этом году, показало как удаленные контролируемые расширения браузера могут изменять содержимое веб-страниц, делать снимки экрана через веб-камеру компьютера, действовать как обратный прокси-сервер HTTP во внутренней сети, загружать, загружать и выполнять файлы, использоваться для разрастания хэша распределенного пароля и многое другое.

Несмотря на то, что предстоящие изменения в Chrome 25 сделают жизнь более сложной для злоумышленников, часть вредоносного ПО все еще потенциально может заменить всю установку Chrome с помощью backdoored, сказал Балаз. Он указал на первый из «10 непреложных законов безопасности», опубликованный Microsoft, в котором говорится: «Если плохой парень может убедить вас запустить свою программу на своем компьютере, это уже не ваш компьютер».

В июле, когда Google запретила установку расширений Chrome с сторонних веб-сайтов, компания также сообщила, что она начнет анализировать все расширения, перечисленные в интернет-магазине Chrome, для вредоносного поведения и удалит оскорбительные.

Остерегайтесь мошенников

Однако с тех пор вредоносные расширения были обнаружены в Интернет-магазине Chrome несколько раз, что говорит о том, что механизм сканирования и просмотра расширений Google можно обойти. 30 августа исследователи из Barracuda Networks предупредили, что мошенникам Facebook удалось обмануть более 90 000 пользователей, чтобы установить несколько вредоносных расширений Chrome, размещенных в интернет-магазине Chrome, до того, как расширения были удалены Google.

Уведомление от 20 декабря от Facecrooks, группы который отслеживает угрозы Facebook, предупреждает о мошенничестве, которое обманывает пользователей в установке расширения изгоев Chrome, заявляя, что оно меняет цветовую схему своего профиля в Facebook.

По словам Балаза, тот факт, что разработчикам вредоносных расширений удается обойти Chrome Web Системы обнаружения вредоносных программ магазина не так уж удивительны.

Обмакивание JavaScript-кода или скрытие вредоносных функций внутри других не вредоносных функций, а также создание вредоносных расширений и добавление вредоносных функций в обновление очень просто, сказал Балаз. «Это та же игра для кошек и мышей, которую мы видим между разработчиками вредоносных программ и AV-индустрией».

«Сейчас Google - это стандарт безопасности, когда речь идет о безопасности расширений браузера», - сказал Балаз. Однако одним большим шагом вперед для Google было бы отключить архитектуру плагинов NPAPI (Netscape Plugin Application Programming Interface) повсюду - теперь она отключена в Chrome для Windows 8 Metro и Chromebook - и продвигает более безопасную и изолированную архитектуру Native Client, сказал он.