A Chrome frissítés megerősíti a felhasználói vezérlést a bővítményekre vonatkozóan

A Google Chrome 25-ös verziójával kezdődően a más alkalmazások által nem használt böngészőbővítmények csak akkor engedélyezettek, ha a felhasználók engedélyt adnak a böngésző kezelőfelületén egy párbeszédpanelen.

a fejlesztők több lehetőséggel rendelkeznek a bővítmények offline telepítéséhez - a böngészőfelületet nem használva - a Google Chrome for Windows rendszerben. Ezek egyike a speciális bejegyzések hozzáadása a Windows rendszerleíró adatbázisában, amelyek azt mondják a Chrome számára, hogy egy új bővítményt telepítettek és engedélyezni kell.

"Ez a szolgáltatás eredetileg arra volt szánva, hogy lehetővé tegye a felhasználóknak a hasznos bővítmény Chrome egy másik alkalmazás telepítésének egy része "- mondta pénteken Peter Ludwig, a Google Chrome-bővítmények termékkezelője. "Sajnos ezt a funkciót harmadik felek széles körben visszaéltek, hogy csendben telepítsék a bővítményeket a Chrome-ba, anélkül, hogy a felhasználók megfelelő elismerést kaptak volna."

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

a böngésző automatikusan letiltja az összes korábban telepített "külső" bővítményt, és egyidejű párbeszédablakkal jeleníti meg a felhasználókat, melyeket szeretné újra engedélyezni.

Ezen felül minden bővítmény amelyek az offline módszerek használatával vannak telepítve, alapértelmezés szerint le lesznek tiltva, és a felhasználó megkérdezi, hogy szeretné-e engedélyezni őket a böngésző újraindításakor.

A Mozilla egy nagyon hasonló mechanizmust hajtott végre egy évvel ezelőtt a Firefoxban, hogy megakadályozza a bővítmények offline telepítését a többi program engedélyezése a felhasználó megerősítése nélkül

Biztonsági problémák

Sok támadás rosszindulatú böngészőbővítményeket használ, beleértve a Chrome-bővítményeket is. Például májusban a Wikimedia Alapítvány figyelmeztetést adott ki egy olyan Google Chrome-bővítményről, amely gonosz hirdetéseket helyeztek be a Wikipédia oldalain.

Júliusban a Google megállította a Chrome-bővítmények harmadik fél webhelyéről történő telepítését, korlátozva az online telepítést a hivatalos Chrome Internetes áruházban található kiterjesztésekre.

Ez megnehezítette a támadók számára a rosszindulatú bővítmények terjesztését, de nem akadályozta meg, hogy a rosszindulatú programok telepítsék a rosszindulatú Chrome-bővítményeket egy már kompromittált rendszeren az offline módszerek használatával. A közelgő Chrome 25 változások célja, hogy ezzel foglalkozzanak.

"Azt hiszem, ez egy jó lépés a helyes irányba, ami biztonságosabb böngészési élmény" - mondta hétfőn hétfőn Balazs Zoltán, Magyarország informatikai biztonsági kutatója. A Balázsok korábban a Firefox, a Chrome és a Safari számára bizonyítékkal támadták meg a rosszindulatú kiterjesztéseket, annak bemutatására, hogy az ilyen eszközök milyen erőteljesek lehetnek a támadók kezében.

Balazs kutatása, amelyet számos biztonsági konferencián idén bemutattak hogy a távolról vezérelt gazember böngésző kiterjesztések hogyan módosíthatják a weblapok tartalmát, a számítógépen lévő webkamerán átfutó felvételeket készíthetnek, fordított HTTP-proxyként működhetnek a belső hálózaton, letölthetik, feltölthetik és végrehajthatnak fájlokat, használhatók elosztott jelszó hash repedéshez és így tovább.

Annak ellenére, hogy a Chrome 25 következő változásai megnehezítik az életet a támadók számára, egy rosszindulatú program továbbra is potenciálisan helyettesítheti az egész Chrome-telepítést egy hátulról, mondta Balazs. A Microsoft által kiadott "10 Immutable Security Laws" első rámutatott, amely a következőket írja: "Ha egy rosszfiú meggyőzheti, hogy futtassa a programot a számítógépén, akkor nem a számítógéped."

Júliusban, amikor a Google letiltotta a Chrome-bővítményeket a harmadik féltől származó webhelyekről, a vállalat azt is elmondta, hogy elkezdi elemezni a Chrome Internetes áruházban felsorolt ​​összes bővítményt rosszindulatú viselkedés esetén, és eltávolítja a sértőeket.

Vigyázz a csalásokra

Azóta többször is rosszindulatú bővítéseket találtak a Chrome Internetes áruházban, ami azt sugallja, hogy a Google bővítményének szkennelési és felülvizsgálati mechanizmusa megkerülhető. Augusztus 30-án a Barracuda Networks kutatói figyelmeztették, hogy a Facebook csalók több mint 90 000 felhasználót trükködtek meg, hogy a Chrome webes áruházban több rosszindulatú Chrome-bővítményt telepítsenek, mielőtt a kiterjesztéseket eltávolították volna a Google.

A 20. napi figyelmeztetés a Facecrooks-tól amely figyeli a Facebook fenyegetéseit, figyelmeztetett egy olyan átverésről, amely becsapta a felhasználókat a rosszindulatú Chrome-bővítmény telepítésében azzal, hogy azt állítja, hogy megváltoztatja a Facebook-profiljuk színsémáját.

A Balazs szerint az a tény, hogy a rosszindulatú kiterjesztés-fejlesztők megkerülik a Chrome Internetet A tároló rosszindulatú észlelési rendszerei nem olyan meglepőek.

A JavaScript kód elrejtése vagy rosszindulatú funkciók elrejtése más nem rosszindulatú függvényekben, rosszindulatú bővítmények létrehozása és rosszindulatú funkciók hozzáadása egy frissítésben, nagyon egyszerű, mondta Balazs. "Ugyanaz a macska- és egér játék, amelyet a rosszindulatú programok fejlesztői és az AV-ipar között látunk."

"A Google jelenleg a biztonsági szabvány a böngésző-kiterjesztés biztonsága tekintetében" - mondta Balazs. Azonban egy óriási előrelépés a Google számára az lesz, hogy mindenhol letiltja a régi NPAPI (Netscape Plugin Application Programming Interface) bővítmény architektúráját - ez most le van tiltva a Chrome for Windows 8 Metro és a Chromebookon -, és elősegíti a biztonságosabb és homokos Native Client architektúrát, azt mondta: