Actualización de seguridad para Extensiones de Google Chrome

Como hemos visto este último año, las extensiones maliciosas de chrome han ido creciendo y google se ha visto obligado a actualizar su Chrome web store. A partir de la versión de Chrome 70 vamos a encontrarnos con extensiones más seguras y transparentes para el usuario.



A principio de este año Google comenzó a banear las extensiones que tenían scripts de minería de datos, más tarde en junio la compañía deshabilitó la instalación desde web, y por último introdujo machine learning para detectar y neutralizar malware en las extensiones. Por lo que han decidido dar el siguiente paso anunciando 5 nuevas actualizaciones que darán al usuario más control sobre ciertos permisos y obliga a cumplir las medidas de seguridad.


Los nuevos cambios que veremos en Chrome 70 son:

  • Nuevos permisos de Host. Hasta ahora el usuario no controlaba qué tipo de permisos de lectura escritura o cambio tenía la extensión sobre el sitio web que estaba visitando. A partir de esta nueva versión, aunque actualmente está en beta, el usuario controlará cuando y como la extensión de chrome controlará los datos.

  • Google prohíbe la ofuscación de código: Los malos utilizan código ofuscado para que sea más difícil de detectar y de analizar. A partir de ahora el código de las extensiones tienen que estar libre de código ofuscado, en el caso contrario en desarrollador tendrá 90 días para quitarlo.
  • Identificación en dos pasos: debido a la corriente de phishing sufrida este último año con la intención de robar cuentas con las que actualizar las extensiones con código malicioso, Google ha decidido añadir la verificación en dos pasos a la lista de actualizaciones.
  • Revisión de extensiones. Google revisará las extensiones más de forma más profunda.
  • por último, se anuncia la actualización del fichero manifest a la versión 3. El fichero manifest.json es donde se declaran las variables de configuración de la extensión 


Con más de 180.000 extensiones en Chrome Web Store, Google tratará de hacer más seguro navegar por internet.


Víctor Reyes
vreyes@hispasec.com

Más información:
Google Announces 5 Major Security Updates for Chrome Extensions