Google ha annunciato diversi cambiamenti in merito alla sicurezza al suo browser Chrome che renderanno più sicuro l’uso delle sue estensioni. Gli aggiornamenti, che verranno introdotti nella versione 70 del suo molto utilizzato browser, coprono diverse aree tra cui i permessi dell’estensioni e degli account dello sviluppatore.
Le estensioni del browser sono piccoli programmi che ne migliorano le funzionalità. Il problema è che le estensioni scorrette possono rubare dati o invadere la privacy dei browser degli utenti. Chrome è un’applicazione affidabile nella maggior parte dei sistemi operativi, il che significa che se si concede un permesso ad una estensione di “fare cose”, il sistema operativo di solito lo accetta. Questo può lasciare gli utenti esposti alle estensioni dannose.
In passato, Google ha fatto dei passi avanti per tenere le estensioni sotto controllo limitando quello che potevano fare. Alla fine dello scorso anno, per esempio, ha introdotto una caratteristica opzionale che rendeva più complicato per un sito rubare segreti a un altro sito aperto nello stesso browser. Esso inoltre permetteva agli amministratori di bloccare le estensioni in base al tipo di permessi che richiedevano, come l’accesso alla webcam o agli appunti.
Permesso per-site
Google ha ora annunciato di avere intenzione di adottare ulteriori misure. In Chrome 70, l’azienda permetterà a un utente di restringere i permessi di un’estensione di manipolare i dati e i servizi di un sito su base per-site. Quando un tempo gli utenti davano il permesso a un’estensione Chrome di leggere e cambiare i dati di un sito, l’estensione poteva usare quel permesso su tutti i siti. Il cambiamento consente agli utenti di essere più selettivi in merito ai siti a cui quell’estensione può accedere.
E’ sicuramente comodo servirsi di un’estensione degli appunti per leggere le informazioni da alcuni siti di notizie che visitate, però forse non vorreste che potesse leggere qualsiasi altra cosa, incluso il vostro conto bancario online. Chrome 70 porrà restrizioni agli accessi a siti specifici autorizzati dagli utenti, oppure potrebbe essere configurato per richiedere l’accesso quando si visita un qualsiasi altro sito. L’utente può anche autorizzare l’accesso a tutti i siti di default, se lo desidera.
Google renderà anche il processo di revisione più rigido per le estensioni che richiedono “permessi forti”, dicono, e monitorerà le estensioni che usano un codice ospitato in remoto.
Bannati i codici oscurati
L’azienda sta anche proibendo l’uso di codici oscurati. Java Script è un codice che viene cifrato per evitare che qualcun altro trovi quello che fa, e sebbene sia un modo in cui gli sviluppatori proteggono il loro IP, un buon ingegnere, al contrario, potrebbe capire cosa sta facendo. Google lo ha evidenziato.
Allo stesso tempo, i codici oscurati autorizzano anche i cybercriminali, come i criptojackers, a realizzare codici malvagi di nascosto. D’ora in poi, il team di Google Chromium non ne avrà più. Non solo tutte le nuove richieste di estensioni dovranno avere codici fruibili, ma tutte quelle con codici oscuri verranno rimosse dal web store di Chrome all’inizio di gennaio se non risolvono il problema. L’azienda ha affermato:
Oggi, oltre il 70% di estensioni malevole o che violano la policy che abbiamo bloccato sul Chrome Web Store contengono codici oscurati. Allo stesso tempo, dato che questa codifica viene usata principalmente per nascondere la funzionalità del codice, questo conferisce al nostro processo di revisione un alto grado di complessità. Ciò non può essere tollerato a lungo dati i sopracitati cambiamenti nel processo di revisione.
Hanno aggiunto che la minificazione, che riduce i codici togliendo commenti e parti inutilizzate e accorciando le variabili, è ancora valida.
La 2FA per gli sviluppatori di estensioni
Google ha anche cambiato i requisiti di accesso ai loro account online per gli sviluppatori. Dovranno usare l’autenticazione a due fattori (2FA) per accedere ai loro account nel Chrome Web Store dal prossimo anno, lo ha stabilito l’azienda. Questo è un tentativo di proteggere gli sviluppatori di estensioni conosciute dalla violazione dei loro account e dalla manomissione delle loro estensioni, una volta pubblicate.
Questi miglioramenti in qualche modo potrebbero andare verso la riduzione di estensioni di Chrome malevole, a questo punto ne dovrebbero rimanere davvero poche.
Una famosa estensione ufficiale chiamata Web Developer per Chrome è stata violata lo scorso anno dopo che i criminali hanno compromesso l’account dello sviluppatore.
Un’altra estensione chiamata “Desbloquear Conteúdo” era contaminata fin dall’inizio, essa infatti inseriva una perfetta sovrapposizione di username, password e una OTP sul sito di una banca.
I cambiamenti di sicurezza sono assaggio della versione 3 del manifesto delle estensioni di Google , che, secondo l’azienda, renderà ancora più complicato scrivere estensioni non sicure. Questi cambiamenti includeranno API ancor più strettamente controllate in modo che gli sviluppatori possano offrire alle estensioni un accesso più selettivo alle pagine web. Aspettiamo queste novità per il prossimo anno.
*Tratto dall’articolo “Google’s new rules for developers make Chrome extensions safer for all” su Naked Security