شرکت گوگل اعلام کرده قوانین و بهروزرسانیهای جدیدی را در راستای افزایش امنیت و شفافیت در افوزنههای کروم در فروشگاه وب کروم آماده کرده است. در چند سال گذشته شاهد افزایش افزونههایی در فروشگاه گوگل هستیم که با کاربردهای مفید، دارای اهداف مخربی هستند که در قالب اسکریپتهایی در آن ها پیادهسازی شده است. با این حال خبر خوشحالکننده این است که گوگل از این مشکل باخبر بوده و در راستای برطرف کردن آن قدم برمیدارد.
اوایل سال جاری گوگل اسکریپتهایی را که در آنها استخراج رمزارز انجام میشد را در فروشگاه گوگل مسدود کرد. در ادامه در ماه ژوئن نصب inline افزونهها در مرورگر کروم را غیرفعال کرد و همچنین برای تشخیص و جلوگیری از گسترش افزونههای مخرب، به فناوری یادگیری ماشین روی آورد. در همین راستا گوگل روز دوشنبه اعلام کرد ۵ تغییر عمده را برای کنترل بیشتر مجوزها ایجاد کرده و میخواهد اقدامات امنیتی بیشتری را در زمینهی شفافیت افزونهها اجرا کند. قرار است در مرورگر کروم ۷۰ که در ادامه منتشر خواهد شد، تغییرات زیر اعمال شود:
مجوزهای میزبان جدید برای افزونههای کروم:
تا به الان اگر افزونهای میخواست برای نوشتن، خواندن و یا تغییر دادههای یک وبسایت، مجوزهایی را دریافت کند، هیچ گزینهای وجود نداشت که مشخص کند کدام کاربر میتواند یک وبسایت را در فهرست سیاه و یا سفید قرار دهد. با این حال قرار است در کروم ۷۰ کاربران بتوانند مشخص کنند چه زمانی و چگونه یک افزونه بتواند به دادههای یک وبسایت دسترسی داشته باشد. همچنین به کاربران اجازه داده میشود دسترسیهای افزونه به وبسایتها را کلا محدود کرده و مجوزهای موقتی را برای آنها صادر کنند.
با این حال، با شروع از کروم ۷۰ (در حال حاضر در بتا)، کاربران قادر خواهند بود کنترل کنند که چه زمانی و چگونه افزونههای Chrome میتوانند به دادههای سایت دسترسی پیدا کنند، به آنها اجازه میدهد دسترسی برای همه سایتها را محدود کنند و در صورت لزوم دسترسی موقت به یک وبسایت خاص را تأمین کنند مجوز ها را برای یک مجموعه خاص از وب سایت ها یا تمام سایت ها فعال کنید. همانطور که در تصویر زیر مشاهده میکنید با فعال شدن این ویژگی، زمانی که کاربر روی افزونه راست کلیک میکند، گزینهای با عنوان «توانایی خواندن و تغییر دادههای وبسایت» نمایش داده میشود که کاربر در ادامه میتواند انتخاب کند این قابلیت چه زمانی فعال باشد. زمانیکه کاربر بر روی افزونه کلیک میکند و بر روی تمامی وبسایتها.
مسدود کردن مبهمسازی کد در افزونههای کروم
معمولا توسعهدهندگان بدافزارهای کدهای خود را بهصورت مبهم در میآورند تا فهم و یا پویش آنها توسط ابزارهای امنیتی مشکلتر شود. به گزارش گوگل ۷۰ درصد از افزونههای مخربی که شناسایی کرده است، بر روی کدهای خود مبهمسازی انجام دادهاند. با این حال در کروم ۷۰ به افزونهای که کدهای خود را مبهم کرده باشد، اجازهی حضور در فروشگاه وب گوگل داده نخواهد شد. این شرکت به توسعهدهندگان افزونهها ۹۰ روز مهلت داده تا کدهای خود را از حالت مبهم خارج کنند.
اعتبارسنجی دو-مرحلهای اجباری برای توسعهدهندگان
سال گذشته شاهد این بودیم که مهاجمان سایبری با روشهای فیشینگ افزونههای محبوب را به سرقت بوده و کدهای مخرب را در آنها تزریق و در ادامه منتشر میکردند. این مسأله باعث آلوده شدن دهها میلیون کاربر به افزونههای مخرب شده بود. با این حال اعتبارسنجی دو-مرحلهای میتواند از این موضوع جلوگیری کند. گوگل از ماه ژانویه به توسعهدهندگان توصیه میکند در حساب کاربری مربوط به فروشگاه وب گوگل، اعتبارسنجی دو-مرحلهای را فعال کنند تا کنترل افزونههای آنها در اختیار نفوذگران قرار نگیرد.
بازبینی مجدد افزونهها
در مرورگر کروم ۷۰ گوگل قصد دارد افزونهها را مجددا مورد بازیبنی قرار دهد. این بازبینی برای افزونههایی که مجوزهای قدرتمندی از کاربر درخواست میکنند شدیدتر خواهد بود. علاوه بر این قرار است گوگل با استفاده از اسکریپتهایی که بر روی سرورهای راه دور میزبانی میشوند، بهطور دقیقتر بر روی افزونهها نظارت داشته و سریعتر از قبل تغییرات بر روی آنها را تشخیص دهد.
انتشار نسخهی ۳ مانیفست افزونههای کروم
گوگل همچنین برنامهریزی کرده نسخهی ۳ از بستر مانیفست را برای ارتقاء امنیت،حریم خصوصی و کارایی افزونهها منتشر کند. این مانیفست در سال ۲۰۱۹ میلادی منتشر خواهد شد. در این مانیفست دسترسی به واسطهای برنامه نویسی محدودتر شده، کنترل مجوزها سادهتر بوده و از قابلیتهایی مانند Service Worker پشتیبانی خواهد شد. در حال حاضر بیش از ۱۸۰ هزار افزونه در فروشگاه وب گوگل وجود دارد و این سیاستهای جدید تجربهی کاربریِ امنتری را برای میلیونها کاربر فراهم خواهد کرد.