۵ به‌روزرسانی امنیتی جدید برای افزونه‌های مرورگر کروم

 

شرکت گوگل اعلام کرده قوانین و به‌روزرسانی‌های جدیدی را در راستای افزایش امنیت و شفافیت در افوزنه‌های کروم در فروشگاه وب کروم آماده کرده است. در چند سال گذشته شاهد افزایش افزونه‌هایی در فروشگاه گوگل هستیم که با کاربردهای مفید، دارای اهداف مخربی هستند که در قالب اسکریپت‌هایی در آن ها پیاده‌سازی شده است. با این حال خبر خوشحال‌کننده این است که گوگل از این مشکل باخبر بوده و در راستای برطرف کردن آن قدم برمی‌دارد.


اوایل سال جاری گوگل اسکریپت‌هایی را که در آن‌ها استخراج رمزارز انجام می‌شد را در فروشگاه گوگل مسدود کرد. در ادامه در ماه ژوئن نصب inline افزونه‌ها در مرورگر کروم را غیرفعال کرد و همچنین برای تشخیص و جلوگیری از گسترش افزونه‌های مخرب، به فناوری یادگیری ماشین روی آورد. در همین راستا گوگل روز دوشنبه اعلام کرد ۵ تغییر عمده را برای کنترل بیشتر مجوزها ایجاد کرده و می‌خواهد اقدامات امنیتی بیشتری را در زمینه‌ی شفافیت افزونه‌ها اجرا کند. قرار است در مرورگر کروم ۷۰ که در ادامه منتشر خواهد شد، تغییرات زیر اعمال شود:


مجوزهای میزبان جدید برای افزونه‌های کروم:
تا به الان اگر افزونه‌ای می‌خواست برای نوشتن، خواندن و یا تغییر داده‌های یک وب‌سایت، مجوزهایی را دریافت کند، هیچ گزینه‌ای وجود نداشت که مشخص کند کدام کاربر می‌تواند یک وب‌سایت را در فهرست سیاه و یا سفید قرار دهد. با این حال قرار است در کروم ۷۰ کاربران بتوانند مشخص کنند چه زمانی و چگونه یک افزونه بتواند به داده‌های یک وب‌سایت دسترسی داشته باشد. همچنین به کاربران اجازه داده می‌شود دسترسی‌های افزونه به وب‌سایت‌ها را کلا محدود کرده و مجوزهای موقتی را برای آن‌ها صادر کنند.


با این حال، با شروع از کروم ۷۰ (در حال حاضر در بتا)، کاربران قادر خواهند بود کنترل کنند که چه زمانی و چگونه افزونههای Chrome میتوانند به دادههای سایت دسترسی پیدا کنند، به آنها اجازه میدهد دسترسی برای همه سایتها را محدود کنند و در صورت لزوم دسترسی موقت به یک وبسایت خاص را تأمین کنند مجوز ها را برای یک مجموعه خاص از وب سایت ها یا تمام سایت ها فعال کنید. همان‌طور که در تصویر زیر مشاهده می‌کنید با فعال شدن این ویژگی، زمانی که کاربر روی افزونه راست کلیک می‌کند، گزینه‌ای با عنوان «توانایی خواندن و تغییر داده‌های وب‌سایت» نمایش داده می‌شود که کاربر در ادامه می‌تواند انتخاب کند این قابلیت چه زمانی فعال باشد. زمانی‌که کاربر بر روی افزونه کلیک می‌کند و بر روی تمامی وب‌سایت‌ها.

      


مسدود کردن مبهم‌سازی کد در افزونه‌های کروم
معمولا توسعه‌دهندگان بدافزارهای کدهای خود را به‌صورت مبهم در می‌آورند تا فهم و یا پویش آن‌ها توسط ابزارهای امنیتی مشکل‌تر شود. به گزارش گوگل ۷۰ درصد از افزونه‌های مخربی که شناسایی کرده است، بر روی کدهای خود مبهم‌سازی انجام داده‌اند. با این حال در کروم ۷۰ به افزونه‌ای که کدهای خود را مبهم کرده باشد، اجازه‌ی حضور در فروشگاه وب گوگل داده نخواهد شد. این شرکت به توسعه‌دهندگان افزونه‌ها ۹۰ روز مهلت داده تا کدهای خود را از حالت مبهم خارج کنند.


اعتبارسنجی دو-مرحله‌ای اجباری برای توسعه‌دهندگان
سال گذشته شاهد این بودیم که مهاجمان سایبری با روش‌های فیشینگ افزونه‌های محبوب را به سرقت بوده و کدهای مخرب را در آن‌ها تزریق و در ادامه منتشر می‌کردند. این مسأله باعث آلوده شدن ده‌ها میلیون کاربر به افزونه‌های مخرب شده بود. با این حال اعتبارسنجی دو-مرحله‌ای می‌تواند از این موضوع جلوگیری کند. گوگل از ماه ژانویه به توسعه‌دهندگان توصیه می‌کند در حساب کاربری مربوط به فروشگاه وب گوگل، اعتبارسنجی دو-مرحله‌ای را فعال کنند تا کنترل افزونه‌های آن‌ها در اختیار نفوذگران قرار نگیرد. 


بازبینی مجدد افزونه‌ها
در مرورگر کروم ۷۰ گوگل قصد دارد افزونه‌ها را مجددا مورد بازیبنی قرار دهد. این بازبینی برای افزونه‌هایی که مجوزهای قدرتمندی از کاربر درخواست می‌کنند شدیدتر خواهد بود. علاوه بر این قرار است گوگل با استفاده از اسکریپت‌هایی که بر روی سرورهای راه دور میزبانی می‌شوند، به‌طور دقیق‌تر بر روی افزونه‌ها نظارت داشته و سریع‌تر از قبل تغییرات بر روی آن‌ها را تشخیص دهد.


انتشار نسخه‌ی ۳ مانیفست افزونه‌های کروم
گوگل همچنین برنامه‌ریزی کرده نسخه‌ی ۳ از بستر مانیفست را برای ارتقاء امنیت،حریم خصوصی و کارایی افزونه‌ها منتشر کند. این مانیفست در سال ۲۰۱۹ میلادی منتشر خواهد شد. در این مانیفست دسترسی به واسط‌های برنامه نویسی محدودتر شده، کنترل مجوزها ساده‌تر بوده و از قابلیت‌هایی مانند Service Worker پشتیبانی خواهد شد. در حال حاضر بیش از ۱۸۰ هزار افزونه در فروشگاه وب گوگل وجود دارد و این سیاست‌های جدید تجربه‌ی کاربریِ امن‌تری را برای میلیون‌ها کاربر فراهم خواهد کرد.
 

منبع

پست‌های مشابه

Leave a Comment