Aktualizacja Chrome zwiększa kontrolę użytkowników nad rozszerzeniami

Począwszy od wersji 25 przeglądarki Google Chrome, rozszerzenia przeglądarki zainstalowane w trybie offline przez inne aplikacje nie zostaną włączone, dopóki użytkownicy nie udzielą pozwolenia za pomocą okna dialogowego w interfejsie przeglądarki.

At w chwili, gdy programiści mają kilka opcji instalacji rozszerzeń offline - bez użycia interfejsu przeglądarki - w przeglądarce Google Chrome dla systemu Windows. Jedna z nich polega na dodaniu specjalnych wpisów do rejestru systemu Windows, które informują Chrome, że nowe rozszerzenie zostało zainstalowane i powinno być włączone.

"Ta funkcja była pierwotnie przeznaczona do umożliwienia użytkownikom wyrażenia zgody na dodanie przydatnego rozszerzenia do Chrome jako część instalacji innej aplikacji ", powiedział Peter Ludwig, menadżer produktu Google ds. rozszerzeń przeglądarki Chrome w poście na blogu. "Niestety, ta funkcja została szeroko wykorzystana przez osoby trzecie do cichego instalowania rozszerzeń w Chrome bez odpowiedniego potwierdzenia przez użytkowników."

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Aby temu zapobiec nadużycia, począwszy od Chrome 25, przeglądarka automatycznie wyłączy wszystkie wcześniej zainstalowane "zewnętrzne" rozszerzenia i wyświetli użytkownikom jednorazowe okno dialogowe, aby wybrać te, które chcą ponownie włączyć.

Ponadto wszystkie rozszerzenia instalowane przy użyciu metod offline zostaną domyślnie wyłączone, a użytkownik zostanie zapytany, czy chce je włączyć po ponownym uruchomieniu przeglądarki.

Mozilla zaimplementowała bardzo podobny mechanizm ponad rok temu w Firefoksie, aby zapobiec instalowaniu rozszerzeń w trybie offline włączenie innych programów bez potwierdzenia użytkownika.

Kwestie bezpieczeństwa

Wiele ataków używa złośliwych rozszerzeń przeglądarki, w tym rozszerzeń Chrome. Na przykład w maju Fundacja Wikimedia wydała ostrzeżenie o rozszerzeniu Google Chrome, które wstawiało fałszywe reklamy na stronach Wikipedii.

W lipcu Google przestało zezwalać na instalowanie rozszerzeń Chrome ze stron internetowych osób trzecich, ograniczając tylko instalacje online do rozszerzeń znalezionych w oficjalnym Chrome Web Store.

Utrudniło to atakującym rozpowszechnianie złośliwych rozszerzeń, ale nie uniemożliwiło złośliwemu instalowaniu nieuczciwych rozszerzeń Chrome w już skompromitowanym systemie przy użyciu metod offline. Nadchodzące zmiany Chrome 25 mają na celu rozwiązanie tego problemu.

"Uważam, że jest to dobry krok we właściwym kierunku, który jest bezpieczniejszym przeglądaniem", powiedział Zoltan Balazs, węgierski specjalista ds. Bezpieczeństwa IT, w poniedziałek za pośrednictwem poczty elektronicznej. Balazs wcześniej stworzył złośliwe rozszerzenia typu proof-of-concept dla Firefoksa, Chrome i Safari, aby pokazać, jak potężne mogą być takie narzędzia w rękach atakujących.

Badania Balazsa, które zostały zaprezentowane podczas kilku konferencji bezpieczeństwa w tym roku, wykazały jak zdalnie kontrolowane nieuczciwe rozszerzenia przeglądarki mogą modyfikować zawartość stron internetowych, robić zrzuty ekranu za pośrednictwem kamery internetowej komputera, działać jako odwrotny serwer proxy HTTP w sieci wewnętrznej, pobierać, przesyłać i wykonywać pliki, być używane do rozproszonego haszowania hash i innych.

Mimo że zbliżające się zmiany w Chrome 25 utrudnią życie atakującym, część szkodliwego oprogramowania mogłaby potencjalnie zastąpić całą instalację Chrome z powrotem, oświadczył Balazs. Wskazał na pierwszą z "10 Immutable Laws of Security" opublikowaną przez Microsoft, która brzmi: "Jeśli zły facet może cię przekonać do uruchomienia programu na twoim komputerze, to nie jest twój komputer."

W lipcu, gdy Google zablokował instalacje rozszerzeń Chrome ze stron internetowych osób trzecich, firma oświadczyła również, że rozpocznie analizę wszystkich rozszerzeń wymienionych w Chrome Web Store pod kątem złośliwego działania i usunie te naruszające.

Uważaj na oszustwa

Niestety, od tego czasu złośliwe rozszerzenia były wielokrotnie wykrywane w Chrome Web Store, co sugeruje, że mechanizm skanowania i przeglądania rozszerzeń Google może zostać ominięty. 30 sierpnia naukowcy z Barracuda Networks ostrzegli, że oszustów na Facebooku udało się oszukać ponad 90 000 użytkowników, aby zainstalować kilka złośliwych rozszerzeń Chrome przechowywanych w Chrome Web Store, zanim rozszerzenia zostały usunięte przez Google.

Alert z 20 grudnia z Facecrooks, grupa monitoruje zagrożenia Facebooka, ostrzega przed oszustwem, które skłoniło użytkowników do zainstalowania nieuczciwego rozszerzenia przeglądarki Chrome, twierdząc, że zmienia schemat kolorów ich profilu na Facebooku.

Według Balazsa fakt, że złośliwi deweloperzy rozszerzeń zdołali ominąć sieć Chrome Systemy wykrywania złośliwego oprogramowania w sklepie nie są aż tak zaskakujące.

Obfuscowanie kodu JavaScript lub ukrywanie złośliwych funkcji w innych nie złośliwych funkcjach lub tworzenie nie złośliwych rozszerzeń i dodawanie złośliwych funkcji do aktualizacji jest bardzo łatwe, powiedział Balazs. "To ta sama gra w kotka i myszkę, którą widzimy między twórcami złośliwego oprogramowania a branżą AV."

"Teraz Google jest standardem bezpieczeństwa, jeśli chodzi o bezpieczeństwo rozszerzeń przeglądarki" - powiedział Balazs. Jednak dużym krokiem naprzód dla Google byłoby wyłączenie starej architektury wtyczek NPAPI (Netscape Plugin Application Programming Interface) wszędzie - jest teraz wyłączona w Chrome na Windows 8 Metro i Chromebook - i promowanie bezpieczniejszej i piaskowanej architektury Native Client, powiedział.