谷歌正在为Chromechrome扩展程序序开发者引叺更严格的规则此举将降低密码破解和挖矿恶意软件的风险。
这家网络和技术巨头周一宣布正计划修改Chrome浏览器处理那些请求广泛权限嘚chrome扩展程序序的方式,并收紧开发人员通过Chrome网络商店分发chrome扩展程序序的规则
谷歌在一篇博客文章中说:
重要的是用户能够信任他们安装的chrome擴展程序序是安全的、具有隐私保护的和性能正常的。chrome扩展程序序的功能和数据访问的范围对于用户来说应该保持完全透明
该公司解释說,从Chrome 70版本(目前处于beta测试阶段)开始用户将能够限制chrome扩展程序序对自定义站点列表的访问,或者设置chrome扩展程序序在每次访问一个页面时要求权限
谷歌补充说,请求“强大权限”的chrome扩展程序序将受到“额外的合规性审查”
“我们也在密切关注使用远程托管代码的chrome扩展程序序,并进行持续监控”
该公司解释了这一举动,称“虽然主机权限已经允许了成千上万的强大和具有创造性的chrome扩展程序序用例但它们吔导致了广泛的误用——恶意的和无意的……我们的目标是提高用户透明度,并控制何时chrome扩展程序序能够访问站点数据
谷歌还表示,从周一开始Chrome网络商店将不再允许使用隐藏或模糊代码的chrome扩展程序序。它补充说现有的代码混乱的chrome扩展程序序有90天的时间来遵守新规则。
根据这篇博文谷歌在Chrome网络商店封锁的超过70%的“恶意和违反方针的chrome扩展程序序”包含混乱的代码。此外由于这种混淆“主要用于隐藏代碼功能”,它大大增加了谷歌chrome扩展程序序审查过程的复杂性
谷歌表示:“考虑到前面提到的审查过程的变化,这种混淆不再是可以接受的”
在2019年的最后一项安全措施中,所有的chrome扩展程序序开发者账户都必须通过两步验证来保护以降低黑客入侵账户的风险。
过去网络犯罪分子曾使用Chromechrome扩展程序序来访问受害者的电脑。
例如就在一个月前,黑客们将一个恶意版本的Megachrome扩展程序序上传到了网络商店根据ZDNet的说法,在接下来的几个小时里使用官方安装程序的人的账户被泄露了——包括MyEtherWallet和MyMonero加密货币钱包的用户以及去中心化交易所IDEX的用户。
谷歌还被迫打击使用下载者设备在不知情的情况下挖掘加密货币的chrome扩展程序序今年4月,Chrome网络商店封锁了挖掘加密货币的chrome扩展程序序无论这种挖矿是否是故意的。