Google Chrome 70 va a hacer casi imposible que instales una extensión con malware

El sistema de extensiones de Chrome es algo que lleva desde que el navegador fue lanzado hace 10 años. Actualmente hay más de 180.000 extensiones disponibles, siendo algunas de ellas imprescindibles para nuestro día a día, ya que casi la mitad de usuarios del navegador usa al menos una extensión. Ahora, Google las va a hacer más seguras.

Cuatro grandes cambios en Chrome 70 para acabar con el malware en las extensiones

Y es que antes que la funcionalidad prima la seguridad. Por ello, Google ya ha incorporado cambios como los out-of-process iframes y eliminación de la instalación inline. Ahora, a partir e Chrome 70, también van a introducir cambios más complejos.

El primero es restringir el acceso de una extensión a un número determinado de páginas, o poder configurarlas de tal manera que haya que hacer click para que una extensión pueda tener acceso a la página actual. De esta manera, evitamos que haya extensiones que puedan leer y modificar todos los datos que vemos en una página web, pudiendo elegir por ejemplo que no puedan hacerlo en la página de nuestro banco, PayPal, etc. Así, también podemos ponerle que esa extensión sólo pueda modificar contenido en una página concreta, como que la extensión de “Ver imagen” sólo pueda tener acceso Google.com.

En segundo lugar, Google va a cambiar la forma en la que analiza las extensiones. Todas aquellas que requieran permisos sensibles recibirán un análisis extra más concienzudo, además de monitorizar aquellas extensiones que ejecuten código de manera remota.

En tercer lugar, Google quiere que el código de las extensiones sea más sencillo y directo para minimizar el tiempo de análisis. Así, ya no se van a permitir extensiones con código ofuscado, lo cual ha sido implementado desde hoy mismo para los envíos de nuevas extensiones. Las actuales tienen 90 días para simplificar el código, y se eliminarán a principios de enero si no lo hacen.

Esta tercera medida llega debido a que el 70% de las extensiones maliciosas o que violan las condiciones de la Chome Web Store contienen código ofuscado. Además de que este código se usa casi siempre con fines maliciosos, también ralentiza el proceso de aprobación y análisis de las extensiones, así como el rendimiento de la extensión. Algunos desarrolladores lo usan para proteger su propiedad intelectual, pero esto es inútil porque se le puede hacer ingeniería inversa porque JavaScript siempre está funcionan de manera local en el PC del usuario.

La cuarta medida tiene que ver con que los desarrolladores tendrán que activar la verificación en dos pasos con móvil o llave de seguridad a partir de 2019 para sus cuentas. Cuando una aplicación gana popularidad, puede atraer a atacantes que busquen hackear la cuenta y modificar la extensión.

Más allá de eso, para 2019 esperan tener el Manifest v3, con el que quieren mejorar el rendimiento de las extensiones, facilitar el control de permisos o modernizar funcionalidades.

Fuente: adslzone