谷歌計劃實施更嚴格Chrome擴展程序規則,降低挖礦惡意軟件風險區塊鏈
重要的是用戶能夠信任他們安裝的擴展程序是安全的、具有隱私保護的和性能正常的。擴展程序的功能和數據訪問的范圍對于用戶來說應該保持完全透明。
谷歌正在為Chrome擴展程序開發者引入更嚴格的規則,此舉將降低密碼破解和挖礦惡意軟件的風險。
這家網絡和技術巨頭周一宣布,正計劃修改Chrome瀏覽器處理那些請求廣泛權限的擴展程序的方式,并收緊開發人員通過Chrome網絡商店分發擴展程序的規則。
谷歌在一篇博客文章中說:
“重要的是用戶能夠信任他們安裝的擴展程序是安全的、具有隱私保護的和性能正常的。擴展程序的功能和數據訪問的范圍對于用戶來說應該保持完全透明。
該公司解釋說,從Chrome 70版本(目前處于beta測試階段)開始,用戶將能夠限制擴展程序對自定義站點列表的訪問,或者設置擴展程序在每次訪問一個頁面時要求權限。
谷歌補充說,請求“強大權限”的擴展程序將受到“額外的合規性審查”。
“我們也在密切關注使用遠程托管代碼的擴展程序,并進行持續監控,”
該公司解釋了這一舉動,稱“雖然主機權限已經允許了成千上萬的強大和具有創造性的擴展程序用例,但它們也導致了廣泛的誤用——惡意的和無意的……我們的目標是提高用戶透明度,并控制何時擴展程序能夠訪問站點數據。
谷歌還表示,從周一開始,Chrome網絡商店將不再允許使用隱藏或模糊代碼的擴展程序。它補充說,現有的代碼混亂的擴展程序有90天的時間來遵守新規則。
根據這篇博文,谷歌在Chrome網絡商店封鎖的超過70%的“惡意和違反方針的擴展程序”包含混亂的代碼。此外,由于這種混淆“主要用于隱藏代碼功能”,它大大增加了谷歌擴展程序審查過程的復雜性。
谷歌表示:“考慮到前面提到的審查過程的變化,這種混淆不再是可以接受的。”
在2019年的最后一項安全措施中,所有的擴展程序開發者賬戶都必須通過兩步驗證來保護,以降低黑客入侵賬戶的風險。
過去,網絡犯罪分子曾使用Chrome擴展程序來訪問受害者的電腦。
例如,就在一個月前,黑客們將一個惡意版本的Mega擴展程序上傳到了網絡商店。根據ZDNet的說法,在接下來的幾個小時里使用官方安裝程序的人的賬戶被泄露了——包括MyEtherWallet和MyMonero加密貨幣錢包的用戶,以及去中心化交易所IDEX的用戶。
谷歌還被迫打擊使用下載者設備在不知情的情況下挖掘加密貨幣的擴展程序。今年4月,Chrome網絡商店封鎖了挖掘加密貨幣的擴展程序,無論這種挖礦是否是故意的。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。