谷歌宣布Chrome扩展的5大安全更新

在过去的几年里，我们已经看到恶意扩展的显著增加，这些扩展似乎提供了有用的功能，同时在后台运行隐藏的恶意脚本，而用户并不知道。

然而，最棒的是，谷歌意识到了这些问题，并一直在积极努力改变其Chrome web浏览器处理扩展的方式。

今年早些时候，谷歌禁止使用加密货币挖掘脚本进行扩展，然后在6月，该公司还完全禁止了Chrome扩展的内联安装。该公司还一直在使用机器学习技术来检测和阻止恶意扩展。

为了更进一步，谷歌周一宣布了五项重大变化，让用户对某些权限拥有更多控制权，实施安全措施，并使生态系统更加透明。

以下是谷歌在Chrome 70中加入的新变化，Chrome 70计划于本月晚些时候发布，以使扩展更加安全：

1） Chrome扩展的新主机权限

到目前为止，如果一个扩展请求允许读取、写入和更改所有网站上的数据，用户无法使用该选项明确地将一组特定网站列入黑名单或白名单。

Chrome extensions产品经理詹姆斯·瓦格纳（James Wagner）说：“虽然主机权限启用了数千个功能强大且富有创意的扩展用例，但它们也导致了广泛的误用，包括恶意和无意的误用，因为它们允许扩展自动读取和更改网站上的数据”。

然而，从Chrome 70（目前处于测试阶段）开始，用户将能够控制Chrome extensions访问站点数据的时间和方式，允许他们限制对所有站点的访问，然后在需要时授予对特定网站的临时访问权限，或者启用对特定网站集或所有站点的权限。

如上面的屏幕截图所示，右键点击Chrome 70上的一个扩展，会显示一个新的菜单，让用户确定它是否“可以读取和更改站点数据”如果是这样，您可以选择“当您点击扩展时”、“在当前网站上”或“在所有网站上”。

建议Chrome扩展开发者尽快对其扩展进行这些更改。

2.）谷歌禁止对Chrome扩展进行代码混淆

即使在一个地方采取了所有安全措施之后，恶意的Chrome扩展也会找到进入Chrome网络商店的方法，这已经不是什么秘密了。

原因是混淆—；一种主要旨在通过使程序更难理解、检测或分析来保护软件开发人员的知识产权的技术。

然而，恶意软件作者经常使用打包或混淆技术，使谷歌的自动扫描仪难以审查扩展，并检测或分析恶意代码。

据谷歌称，它拦截的“恶意和违反策略的扩展”中有70%以上包含模糊代码。然而，有了Chrome 70，Chrome网络商店将不再允许使用模糊代码进行扩展。

谷歌还认为，代码混淆不足以保护开发人员的代码不受真正动机的逆向工程的影响，因为JavaScript代码总是在用户机器上本地运行。此外，易于访问的代码可以提高性能。

向Chrome Web Store提交的新扩展必须没有立即开始的模糊代码，开发者有90天的时间清理Chrome扩展中的模糊代码，无论是在扩展包中还是从Web获取的。

3） 针对开发者的强制性两步验证

去年，我们看到了一波新的网络钓鱼攻击，旨在通过网络钓鱼劫持流行的浏览器扩展，然后用恶意代码更新它们，并将其分发给数千万用户。

两步验证可以防止这种情况发生。从1月开始，谷歌将要求开发者对其Chrome网络商店账户进行两步验证，以降低黑客接管其扩展的风险。

瓦格纳说：“如果你的扩展变得流行起来，它可以通过劫持你的帐户来吸引想要窃取它的攻击者，两步验证通过要求你的手机进行第二步身份验证或物理安全密钥来增加额外的安全层”。

4） 新的扩展审查流程，而且很严格！

有了Chrome 70，谷歌还将开始对要求“强大权限”的扩展进行更深入的审查。除此之外，该公司还将开始使用远程托管代码密切监控扩展，以快速发现恶意更改。

5） 用于Chrome扩展的新清单版本3

谷歌还计划推出新版本的扩展平台清单3，旨在实现“更强大的安全、隐私和性能保证”

谷歌将在2019年推出Manifest版本3，该版本将缩小其API的范围，让用户更容易使用权限控制机制，并支持新的web功能，例如作为新后台流程的服务人员。

随着Chrome网络商店的扩展超过18万个，谷歌相信这些新的变化将使数百万用户浏览网络更加安全。