Chrome-päivitys vahvistaa käyttäjän hallintaa laajennuksille

Aloittamalla Google Chromen versio 25 alkaen muiden sovellusten offline-tilassa asennetut selainlaajennukset eivät ole käytössä, ennen kuin käyttäjät antavat luvan selaimen käyttöliittymän valintaikkunaan.

At tällä hetkellä kehittäjillä on useita vaihtoehtoja asentaa laajennuksia offline-tilassa - ei selaimen käyttöliittymää - Google Chrome for Windowsissa. Yksi näistä koskee Windowsin rekisterin erityisten merkintöjen lisäämistä, jotka kertovat Chromelle, että uusi laajennus on asennettu ja että se pitäisi ottaa käyttöön.

"Tämän ominaisuuden tarkoituksena oli alun perin antaa käyttäjille mahdollisuus käyttää lisättävää hyödyllistä laajennusta Chromeen osa toisen sovelluksen asennuksesta ", Peter Ludwig, Googlen Chrome-laajennusten tuotepäällikkö, sanoi perjantaina blogikirjoituksessa. "Valitettavasti kolmas osapuoli on käyttänyt laajalti tätä ominaisuutta laajentamattomien laajennusten asentamiseen Chromeen ilman, että käyttäjät tunnustetaan kunnolla."

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

selaimesta poistetaan automaattisesti kaikki aiemmin asennetut "ulkoiset" laajennukset ja esitetään käyttäjille kertaluonteinen valintaikkuna valitsemaan ne, jotka he haluavat ottaa uudelleen käyttöön.

Lisäksi kaikki laajennukset jotka on asennettu offline-menetelmien avulla, poistetaan oletusarvoisesti käytöstä, ja käyttäjältä kysytään, haluavatko heidät käyttöön, kun selain käynnistetään uudelleen.

Mozilla toteutti hyvin samanlaisen mekanismin kuin vuosi sitten Firefoxissa estääkseen laajennukset asennettuina offline-tilassa muiden ohjelmien ollessa käytössä ilman käyttäjän vahvistusta.

Turvallisuusongelmat

Monet hyökkäykset ovat käyttäneet haittaohjelmia selainlaajennuksia, kuten Chrome-laajennuksia. Esimerkiksi toukokuussa Wikimedia Foundation lähetti ilmoituksen Google Chrome -laajennuksesta, joka sisälsi roistoa koskevia mainoksia Wikipedia-sivuille.

Heinäkuussa Google lopetti Chrome-laajennusten asentamisen kolmannen osapuolen verkkosivustoilta ja rajoitti vain verkkoasennuksia

Tämä vaikeutti hyökkääjien jakelua haitallisille laajennuksille, mutta ei estä haittaohjelmia asenntamasta väärennettyjä Chrome-laajennuksia jo vaarantuneessa järjestelmässä offline-menetelmien avulla. Tulevat Chromen 25 muutokset pyrkivät käsittelemään tätä.

"Mielestäni tämä on hyvä askel oikeaan suuntaan, mikä on turvallisempi selailukokemus", sanoi maanantaina sähköpostitse Zoltan Balazs, Unkarin IT-tietoturva-tutkija. Balazs on aiemmin luonut Firefoxille, Chromeille ja Safarille haitallisia laajennuksia, joiden avulla voidaan osoittaa, kuinka tehokkaita tällaisia ​​työkaluja voi olla hyökkääjien käsissä.

Balazsin tutkimus, joka esitettiin useissa tietoturvakonferensseissa tänä vuonna, osoitti miten etävalvonta-väärennettyjä selainlaajennuksia voi muuttaa verkkosivujen sisältöä, ottaa näytön laukauksia tietokoneen web-kameran kautta, toimia käänteisenä HTTP-välityspalveluna sisäiseen verkkoon, ladata, ladata ja suorittaa tiedostoja, käyttää hajautetun salasanan halkeilua ja paljon muuta.

Vaikka Chrome 25: n tulevat muutokset tekevät elämästä entistä vaikeampaa hyökkääjille, osa haittaohjelmista voisi edelleen korvata koko Chrome-asennuksen selkäpuolella, Balazs sanoi. Hän viittasi ensimmäiseen Microsoftin julkaisemaan "10 Immutable Security Laws of Security" -osiosta, joka lukee: "Jos paha kaveri voi saada sinut suorittamaan ohjelman tietokoneellasi, se ei ole tietokoneesi enää."

Heinäkuussa kun Google kieltäytyi Chrome-laajennusinstallaatioista kolmannen osapuolen verkkosivustoilta, yhtiö sanoi myös, että se alkaa analysoida kaikkia Chrome Web Storessa lueteltuja laajennuksia haitalliseen käyttäytymiseen ja poistaa rikkomattomat.

Varokaa huijauksia

Chrome Web Storesta on kuitenkin toistuvasti havaittu haitallisia laajennuksia sen jälkeen, mikä viittaa siihen, että Googlen laajennuksen tarkistus- ja tarkistusmekanismi voidaan ohittaa. Barracuda Networksin tutkijat varoittavat 30. elokuuta, että Facebook-huijarit pystyivät huijaamaan yli 90 000 käyttäjää asentamaan useita Chrome-verkkokauppaan isännöimäjä haitallisia Chrome-laajennuksia ennen kuin Google laajensi laajennukset.

Syyskuun 20. päivä ilmoittama Facecrooks-ryhmä joka valvoo Facebook-uhkia, varoitti huijauksesta, joka petäsi käyttäjiä asentamasta väärennettyä Chrome-laajennusta väittämällä, että se muuttaa heidän Facebook-profiilinsa värimallia.

Balazsin mukaan se, että haitalliset laajennusohjelmat pystyvät ohittamaan Chrome Web Store-haittaohjelmien havaitsemisjärjestelmät eivät ole yllättävää.

Hypokoodattujen JavaScript-koodien piilottaminen tai piilottaminen haittaohjelmien toiminnoissa muiden haittaohjelmien toimimattomuudessa tai luominen vahingossa vahingoittamattomille laajennuksille ja lisäämällä haittaohjelmia päivityksiin on erittäin helppoa, Balazs sanoi. "Se on sama kissa ja hiiripeli, jota näemme haittaohjelmien kehittäjien ja AV-alan välillä."

"Tällä hetkellä Google on tietoturvamäärä, kun kyseessä on selaimen laajennuksen suojaus", Balazs sanoi. Yksi suuri edistysaskel Googlelle olisi kuitenkin poistaa vanha NPAPI (Netscape Plugin Application Programming Interface) pluginarkkitehtuuri käytöstä kaikkialla - se on nyt poistettu käytöstä Chrome for Windows 8 Metro- ja Chromebook-käyttöjärjestelmälle ja edistää turvallisempaa ja hiekkalaatua Native Client -arkkitehtuuria, hän sanoi.