Google heeft een strenger beleid ten aanzien van extensies voor zijn Chrome-browser aangekondigd. Zo krijgt Chrome 70 de optie om per site in te stellen tot welke gegevens een extensie toegang heeft. Ook mogen browserextensies geen verborgen code meer bevatten.

Google schrijft in zijn aankondiging dat extensies toegang hebben tot gegevens op een site die een gebruiker bezoekt en dat ze deze gegevens aan kunnen passen. Dat zou 'krachtige en creatieve' extensies teweeg hebben gebracht, maar tegelijkertijd ook 'kwaadaardig of onopzettelijk misbruik' in de hand hebben gewerkt. Daarom krijgt Chrome 70 een optie om een extensie bijvoorbeeld per site de permissie toe te kennen om gegevens te lezen en te wijzigen. Daarnaast kunnen gebruikers instellen dat een extensie dit alleen kan doen nadat ze op het corresponderende icoontje hebben geklikt. Google heeft meer uitleg over de introductie van deze wijzigingen in een aparte blogpost over host permissions.

Google Chrome permissie

Een andere wijziging is dat de Web Store met onmiddellijke ingang geen extensies meer toelaat die verborgen of obfuscated code bevatten. Dit geldt voor code in de extensie zelf en voor code die extern wordt ingeladen. Google onderbouwt de beslissing door te stellen dat 70 procent van geblokkeerde kwaadaardige extensies verborgen code bevatten en dat de aanwezigheid van dit soort code het controleproces bemoeilijkt. Daarnaast stelt het dat JavaScript-code lokaal draait en dat obfuscation een toegewijde reverse engineer toch niet zal tegenhouden. 'Minification' van code blijft wel toegestaan, zoals het wegwerken van witruimtes en commentaar.

Deze nieuwe eis hangt samen met een derde wijziging, die inhoudt dat Google een aanvullende controle zal uitvoeren op extensies die 'krachtige permissies' vereisen. Ook zal het bedrijf meer aandacht besteden aan extensies die externe code inladen. Ten slotte introduceert de zoekgigant in 2019 de eis dat ontwikkelaars hun Chrome Web Store-account beveiligen met tweetrapsauthenticatie. Volgens Google zijn populaire extensies doelwit van aanvallers die deze willen overnemen.

Met de wijzigingen lijkt Google maatregelen te nemen die incidenten zoals met de extensies van Mega en Hola VPN moeten voorkomen. Bij die laatste hadden aanvallers het bijbehorende ontwikkelaarsaccount overgenomen via phishing en een kwaadaardige versie van de extensie gepubliceerd. Die stal inloggegevens van MyEtherWallet-gebruikers doordat deze toegang had tot gegevens op pagina's. Soortgelijke incidenten deden zich ook vorig jaar voor. Recentelijk bleek dat extensieontwikkelaars opnieuw het doelwit zijn van phishingaanvallen.

Reacties mogelijk gemaakt door CComment