Car-tech

Chrome oppdaterer styrker brukerkontroll over utvidelser

Lingdys for Windows: Aktivere og feste Lingit Chrome Extension i Google Chrome

Lingdys for Windows: Aktivere og feste Lingit Chrome Extension i Google Chrome

Innholdsfortegnelse:

Anonim

Fra og med versjon 25 i Google Chrome blir nettleserutvidelser som er installert frakoblet av andre programmer, ikke aktivert før brukerne gir tillatelse gjennom en dialogboks i nettlesergrensesnittet.

At øyeblikket utviklere har flere alternativer for å installere utvidelser offline - ikke bruker nettlesergrensesnittet - i Google Chrome for Windows. En av dem innebærer å legge til spesielle oppføringer i Windows-registeret som forteller Chrome at en ny utvidelse er installert og bør aktiveres.

"Denne funksjonen var opprinnelig ment å tillate brukere å logge inn for å legge til en nyttig utvidelse til Chrome som en del av installasjonen av et annet program, sa Peter Ludwig, Googles produktleder for Chrome Extensions, fredag ​​i et blogginnlegg. "Dessverre har denne funksjonen blitt mye misbrukt av tredjeparter for å stille installasjoner av utvidelser til Chrome uten riktig bekreftelse fra brukere."

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

For å forhindre denne typen av misbruk, starter med Chrome 25, vil nettleseren automatisk deaktivere alle tidligere installerte "eksterne" utvidelser og presentere brukere med en engangs dialogboks for å velge hvilke de vil aktivere.

I tillegg vil alle utvidelser som er installert ved hjelp av de offline metodene, blir deaktivert som standard, og brukeren blir spurt om de vil aktivere dem når nettleseren startes på nytt.

Mozilla implementerte en meget lignende mekanisme for over et år siden i Firefox for å forhindre at utvidelser installeres offline ved at andre programmer blir aktivert uten brukerbekreftelse.

Sikkerhetsproblemer

Mange angrep har brukt skadelige nettleserutvidelser, inkludert Chrome-utvidelser. For eksempel, i mai, utgav Wikimedia Foundation en varsling om en Google Chrome-utvidelse som setter inn skurkneannonser på Wikipedia-sider.

I Google stoppet Google at Chrome-utvidelser skal installeres fra tredjeparts nettsteder, og begrenser bare nettverksinstallasjoner til utvidelser funnet i den offisielle Chrome Nettmarked.

Dette gjorde det vanskeligere for angripere å distribuere ondsinnede utvidelser, men hindret ikke at skadelig programvare installerte skyggefulle Chrome-utvidelser på et allerede kompromittert system ved hjelp av offline metoder. Den kommende Chrome 25-endringen tar sikte på å adressere det.

"Jeg tror det er et godt skritt i riktig retning, noe som er en sikrere nettleseropplevelse," sa Zoltan Balazs, en IT-sikkerhetsforsker fra Ungarn, mandag via e-post. Balazs har tidligere skapt skadelige utvidelser for Firefox, Chrome og Safari for å demonstrere hvor kraftige slike verktøy kan være i hendene på angriperne.

Balazs 'forskning, som ble presentert på flere sikkerhetskonferanser i år, viste hvordan eksternt kontrollerte falske nettleserutvidelser kan endre innholdet på websider, ta skjermbilder via datamaskinens webkamera, fungere som en omvendt HTTP-proxy i det interne nettverket, laste ned, laste opp og kjøre filer, brukes til distribuert passord hash cracking og mer.

Selv om de kommende endringene i Chrome 25 vil gjøre livet vanskeligere for angripere, kan et stykke malware fortsatt potensielt erstatte hele Chrome-installasjonen med en bakdør, sa Balazs. Han pekte på den første av "10 Immutable Securitys Laws" som publisert av Microsoft, som lyder: "Hvis en dårlig fyr kan overtale deg til å kjøre sitt program på datamaskinen din, er det ikke datamaskinen din lenger."

I juli, da Google utestengt Chrome-utvidelsesinstallasjoner fra tredjeparts nettsteder, sa selskapet også at det vil begynne å analysere alle utvidelser som er oppført i Chrome Nettmarked for skadelig oppførsel, og vil fjerne de fornærmende.

Pass på svindel

Det har imidlertid blitt funnet ondsinnede utvidelser i Chrome Nettmarked ved flere anledninger siden da, noe som tyder på at Googles utvidelsesprogram for skanning og gjennomgang kan omgå. Den 30. august advarte forskere fra Barracuda Networks om at Facebook-svindlere klarte å lure over 90 000 brukere for å installere flere ondsinnede Chrome-utvidelser som ble hostet i Chrome Nettmarked før utvidelsene ble fjernet av Google.

En 20 desember varsel fra Facecrooks, en gruppe som overvåker Facebook-trusler, advarer om en svindel som lurte brukere på å installere en uhyggelig Chrome-utvidelse ved å hevde at det endrer fargeskjemaet til deres Facebook-profil.

Ifølge Balazs er det faktum at ondsinnede utvidelsesutviklere klarer å omgå Chrome Web Store malware-deteksjonssystemer er ikke så overraskende.

Forklarer JavaScript-kode eller gjemmer ondsinnede funksjoner i andre ikke-ondsinnede funksjoner, eller skaper ikke-ondsinnede utvidelser og legger til onde funksjoner i en oppdatering, er det veldig enkelt, sa Balazs. "Det er samme katt- og musespill som vi ser mellom malware-utviklere og AV-bransjen."

"Nå er Google sikkerhetsstandarden når det gjelder sikkerhetsstillelse for nettlesere," sa Balazs. Et stort fremskritt for Google ville imidlertid være å deaktivere den gamle NPAPI-pluginarkitekturen (Netscape Plugin Application Programming Interface) overalt. Det er nå deaktivert i Chrome for Windows 8 Metro og Chromebook, og fremme den sikrere og sandbokse Native Client-arkitekturen, sa han.