Google anuncia 5 importantes actualizaciones de seguridad para las extensiones de Chrome

Google anuncia 5 importantes actualizaciones de seguridad para las extensiones de Chrome

Google ha realizado varios anuncios nuevos para su Chrome Web Store, cuyo objetivo es hacer que las extensiones de Chrome sean más seguras y transparentes para sus usuarios.

Durante un par de años, hemos visto un aumento significativo en las extensiones maliciosas que parecen ofrecer funcionalidades útiles, mientras se ejecutan scripts maliciosos ocultos en segundo plano sin el conocimiento del usuario.

Sin embargo, la mejor parte es que Google es consciente de los problemas y ha estado trabajando proactivamente para cambiar la forma en que su navegador Chrome maneja las extensiones.

A principios de este año, Google prohibió las extensiones usando scripts de minería de datos de criptomonedas y luego, en junio, la compañía también deshabilitó completamente la instalación en línea de las extensiones de Chrome. La compañía también ha estado utilizando tecnologías de aprendizaje automático para detectar y bloquear extensiones maliciosas.

Para dar un paso más, Google anunció cinco cambios importantes que brindan a los usuarios más control sobre ciertos permisos, hace cumplir las medidas de seguridad y hace que el ecosistema sea más transparente.

Aquí están los nuevos cambios que Google ha incluido en Chrome 70, para hacer las extensiones más seguras:

1) Nuevos permisos de host para extensiones de Chrome

Hasta ahora, si una extensión solicita permiso para leer, escribir y cambiar datos en todos los sitios web, no hay ninguna opción disponible que permita a los usuarios incluir de forma explícita en la lista negra o blanca de un conjunto específico de sitios web.

“Si bien los permisos de host han habilitado miles de casos de uso de extensiones poderosas y creativas, también han llevado a una amplia gama de usos indebidos, tanto maliciosos como no intencionales, porque permiten que las extensiones lean y cambien automáticamente los datos en los sitios web”, dice James Wagner.

Sin embargo, a partir de Chrome 70 (actualmente en versión beta), los usuarios podrán controlar cuándo y cómo las extensiones de Chrome pueden acceder a los datos del sitio, permitiéndoles restringir el acceso a todos los sitios y luego otorgar acceso temporal a un sitio web específico cuando sea necesario, o habilitar permisos para un conjunto específico de sitios web o todos los sitios.

Como se muestra en la captura de pantalla anterior, al hacer clic con el botón derecho en una extensión de Chrome 70 se revela un nuevo menú que permite a los usuarios determinar si “puede leer y cambiar los datos del sitio”. Si es así, tiene la opción de elegir entre “Al hacer clic en la extensión”, “en el sitio web actual” o “En todos los sitios”.

Extensión de Chrome Se recomienda a los desarrolladores que realicen estos cambios en su extensión lo antes posible.

2.) Google prohíbe código ofuscado para las extensiones de Chrome

No es ningún secreto que, incluso después de todas las medidas de seguridad, las extensiones Chrome malintencionadas encuentran la forma de ingresar a Chrome Web Store para su posterior descarga.

La razón es la ofuscación: El código ofuscado es hacer tan confuso e ilegible el código fuente de un programa. Una técnica dirigida principalmente a proteger la propiedad intelectual de los desarrolladores de software al hacer que los programas sean más difíciles de entender, detectar o analizar.

Sin embargo, los autores de malware a menudo utilizan técnicas de empaquetamiento para dificultar que los escáneres automáticos de Google revisen la extensión y detecten o analicen el código malicioso.

Según Google, más del 70% de las “extensiones maliciosas y que violan las políticas” que bloquea contienen código confuso. Sin embargo, con Chrome 70, Chrome Web Store ya no permitirá extensiones con código confuso.

Google también sostiene que la ofuscación de código no es suficiente para proteger el código de los desarrolladores de un ingeniero inverso realmente motivado, porque el código JavaScript siempre se ejecuta localmente en la máquina de un usuario. Además, el código de fácil acceso acelera el rendimiento.

Los nuevos envíos de extensiones a Chrome Web Store deben estar libres de código confuso, y los desarrolladores tienen 90 días para limpiar sus extensiones de código ofuscado de Chrome, ya sea en el paquete de extensión o en la web.

 

Neothek ofrece servicios de web hosting, registro de dominios y certificados SSL y diseño de páginas web.

Share This Post On