Car-tech

Pembaruan Chrome memperkuat kontrol pengguna atas ekstensi

Google Keynote (Google I/O'19)

Google Keynote (Google I/O'19)

Daftar Isi:

Anonim

Dimulai dengan versi 25 Google Chrome, ekstensi peramban yang dipasang luring oleh aplikasi lain tidak akan diaktifkan hingga pengguna memberikan izin mereka melalui kotak dialog di antarmuka peramban.

Di pengembang saat ini memiliki beberapa opsi untuk memasang ekstensi offline-tidak menggunakan antarmuka browser-di Google Chrome untuk Windows. Salah satunya melibatkan penambahan entri khusus dalam registri Windows yang memberi tahu Chrome bahwa ekstensi baru telah dipasang dan harus diaktifkan.

"Fitur ini semula ditujukan untuk memungkinkan pengguna ikut serta menambahkan ekstensi yang bermanfaat ke Chrome sebagai bagian dari pemasangan aplikasi lain, "Peter Ludwig, manajer produk Google dari Chrome Extensions, mengatakan Jumat di sebuah posting blog. "Sayangnya, fitur ini telah disalahgunakan secara luas oleh pihak ketiga untuk secara diam-diam memasang ekstensi ke Chrome tanpa pengakuan yang tepat dari pengguna."

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Untuk mencegah jenis ini penyalahgunaan, dimulai dengan Chrome 25, peramban akan secara otomatis menonaktifkan semua ekstensi "eksternal" yang dipasang sebelumnya dan akan menyajikan pengguna dengan kotak dialog satu kali untuk memilih yang ingin mereka aktifkan kembali.

Selain itu, semua ekstensi yang dipasang menggunakan metode offline akan dinonaktifkan secara default dan pengguna akan ditanya apakah mereka ingin mengaktifkannya ketika browser dimulai ulang.

Mozilla menerapkan mekanisme yang sangat mirip lebih dari setahun yang lalu di Firefox untuk mencegah ekstensi dipasang secara offline oleh program lain agar tidak diaktifkan tanpa konfirmasi pengguna.

Masalah keamanan

Banyak serangan menggunakan ekstensi peramban berbahaya, termasuk ekstensi Chrome. Misalnya, pada bulan Mei, Wikimedia Foundation mengeluarkan peringatan tentang ekstensi Google Chrome yang memasukkan iklan jahat ke halaman Wikipedia.

Pada bulan Juli, Google berhenti mengizinkan ekstensi Chrome untuk dipasang dari situs web pihak ketiga, membatasi pemasangan online saja ke ekstensi yang ditemukan di Toko Web Chrome resmi.

Ini mempersulit penyerang untuk mendistribusikan ekstensi berbahaya, tetapi tidak mencegah malware menginstal ekstensi Chrome palsu pada sistem yang sudah disusupi menggunakan metode offline. Perubahan Chrome 25 yang akan datang bertujuan untuk mengatasi itu.

"Saya pikir ini adalah langkah yang baik ke arah yang benar, yang merupakan pengalaman penjelajahan yang lebih aman," Zoltan Balazs, seorang peneliti keamanan TI dari Hungaria, mengatakan Senin melalui email. Balazs sebelumnya membuat ekstensi berbahaya bukti-of-konsep untuk Firefox, Chrome dan Safari untuk menunjukkan seberapa kuat alat-alat tersebut dapat berada di tangan penyerang.

Penelitian Balazs ', yang dipresentasikan di beberapa konferensi keamanan tahun ini, menunjukkan bagaimana ekstensi peramban nakal yang dikendalikan dari jarak jauh dapat memodifikasi konten halaman Web, mengambil cuplikan layar melalui webcam komputer, bertindak sebagai proxy HTTP terbalik ke dalam jaringan internal, mengunduh, mengunggah, dan mengeksekusi file, digunakan untuk hash pemecahan kata sandi terdistribusi dan banyak lagi.

Meskipun perubahan yang akan terjadi di Chrome 25 akan membuat hidup lebih sulit bagi penyerang, sebagian malware masih berpotensi menggantikan keseluruhan instalasi Chrome dengan yang ada di belakang, kata Balazs. Dia menunjuk yang pertama dari "10 Immutable Laws of Security" seperti yang diterbitkan oleh Microsoft, yang berbunyi: "Jika orang jahat dapat membujuk Anda untuk menjalankan programnya di komputer Anda, itu bukan komputer Anda lagi."

Pada bulan Juli, ketika Google melarang pemasangan ekstensi Chrome dari situs web pihak ketiga, perusahaan juga mengatakan bahwa ia akan mulai menganalisis semua ekstensi yang tercantum di Toko Web Chrome untuk perilaku jahat dan akan menghapus yang melanggar.

Berhati-hatilah penipuan

Namun, ekstensi berbahaya telah ditemukan di Toko Web Chrome pada beberapa kesempatan sejak saat itu, yang menunjukkan bahwa pemindaian ekstensi dan mekanisme peninjauan Google dapat dilewati. Pada 30 Agustus, para peneliti dari Barracuda Networks memperingatkan bahwa penipu Facebook berhasil mengelabui lebih dari 90.000 pengguna untuk memasang beberapa ekstensi Chrome berbahaya yang dihosting di Toko Web Chrome sebelum ekstensi dihapus oleh Google.

Peringatan 20 Desember dari Facecrooks, grup yang memantau ancaman Facebook, memperingatkan tentang penipuan yang menipu pengguna agar memasang ekstensi Chrome palsu dengan mengklaim bahwa itu mengubah skema warna dari profil Facebook mereka.

Menurut Balazs, fakta bahwa pengembang ekstensi berbahaya berhasil melewati Web Chrome Sistem deteksi malware Store tidak begitu mengejutkan.

Mengaburkan kode JavaScript atau menyembunyikan fungsi jahat di dalam fungsi yang tidak berbahaya lainnya, atau membuat ekstensi yang tidak berbahaya dan menambahkan fungsi jahat dalam pembaruan, sangat mudah, kata Balazs. "Ini adalah permainan kucing dan tikus yang sama yang kita lihat antara pengembang malware dan industri AV."

"Saat ini Google adalah standar keamanan ketika menyangkut keamanan ekstensi peramban," kata Balazs. Namun, satu langkah maju yang besar bagi Google adalah menonaktifkan arsitektur plugin NPAPI (Antarmuka Plugin Aplikasi Pemrograman Aplikasi Netscape) di mana-mana-sekarang dinonaktifkan di Chrome untuk Windows 8 Metro dan Chromebook-dan mempromosikan arsitektur Klien Native Client yang lebih aman dan terkotak-kotak, katanya.