Desde hace algún tiempo, hemos visto como firmas de la talla de Google o Firefox han estado trabajando para darle mayor confiabilidad a sus extensiones. Principalmente, luego de que esta última presentara inconvenientes con 23 de sus extensiones, debido a que tomaban datos privados de los usuarios. Por su parte, Google no se ha quedado atrás y luego que que se detectaran varias extensiones engañosas, han optado por integrar mejoras en torno a la seguridad de estas aplicaciones.
En este sentido, James Wagner, Gerente de Productos de Chrome Extensions, dijo en una publicación en el blog de Google que serán agregadas nuevas medidas, con el fin de garantizar la seguridad de los usuarios de Chrome que tienen acceso a las más de 180,000 extensiones de su Web Store.
“Google agregará una mayor seguridad y privacidad a las 180,000 extensiones de Chrome Web Store”
Es por ello que, la firma de Mountain View ha anunciado la creación de varias reglas destinadas a que sus extensiones sean más seguras y confiables.
Esta nueva característica será incluida en la versión 70 de Google Chrome, pautada para ser lanzada a final de este mes.
Aunque estos cambios contemplan solicitar acceso general a sus datos de navegación, pronto se incluirá una opción de incluir en la lista blanca aquellos sitios a los que se pueda tener acceso.
Por su parte, la firma ha enviado un ultimátum a los desarrolladores, y ha mencionado que estos tienen hasta el 1 de enero para limpiar el código ofuscado de sus extensiones y hacer que éstas cumplan con las nuevas reglas.
Según la firma, este tipo de código es el que ocupa el 70% de las extensiones maliciosas, añadiendo además que habrá un proceso de revisión más profundo para aquellas extensiones que solicitan “permisos potentes” y aquellas que tiene el código alojado remotamente.
“Más del 70% de las extensiones maliciosas y que violan las políticas que bloqueamos desde Chrome Web Store contienen código ofuscado”.
A partir de esta nueva versión de Chrome los usuarios podrán establecer algunas restricciones, ya sea permitiendo que las extensiones instaladas accedan solo a una lista limitada de sitios web o que éstas requieran un clic para confirmar el acceso a una página.
Autenticación de dos factores y bloqueo basado en el aprendizaje lo nuevo de Google
Otra medida tomada por Google es la verificación de dos pasos, la cual deberá ser habilitada por los desarrolladores en sus cuentas de Chrome Web Store, a fin de añadir una capa de protección extra en contra de los atacantes que quieran comprometer su cuenta enviando copias maliciosas de sus extensiones a la tienda.
Adicionalmente, la firma planea añadir la instalación en línea, el bloqueo basado en el aprendizaje automático de extensiones maliciosas y los iframes fuera de proceso. Pero esto no será todo, pues en el 2019 Google planea presentar un nuevo manifiesto de extensiones, llamado Manifest v3, donde se incluirán “garantías de seguridad, privacidad y rendimiento más sólidas”.
