Chrome opdatering styrker brugerkontrol over udvidelser

Start med version 25 i Google Chrome, vil browserudvidelser installeret offline af andre programmer ikke blive aktiveret, før brugere giver deres tilladelse via en dialogboks i browseren. i øjeblikket udviklere har flere muligheder for at installere udvidelser offline-ikke bruger browseren grænseflade-i Google Chrome til Windows. En af dem indebærer at tilføje særlige poster i Windows-registreringsdatabasen, der fortæller Chrome, at en ny udvidelse er installeret og skal aktiveres.

"Denne funktion var oprindeligt beregnet til at give brugerne mulighed for at logge ind for at tilføje en nyttig udvidelse til Chrome som en del af installationen af ​​en anden applikation, "sagde Peter Ludwig, Googles produktchef for Chrome Extensions, fredag ​​i et blogindlæg. "Desværre er denne funktion blevet misbrugt af tredjeparter for at installere udvidelser i Chrome uden korrekt godkendelse fra brugere."

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

For at forhindre denne type af misbrug begynder browseren automatisk alle tidligere installerede "eksterne" udvidelser og vil præsentere brugere med en engangs dialogboks for at vælge, hvilke de vil genaktivere.

Derudover vil alle udvidelser som installeres ved hjælp af offline metoder, bliver deaktiveret som standard, og brugeren bliver spurgt, om de vil aktivere dem, når browseren genstartes.

Mozilla implementerede en meget lignende mekanisme for over et år siden i Firefox for at forhindre udvidelser installeret offline af andre programmer bliver aktiveret uden brugerbekræftelse.

Sikkerhedsproblemer

Mange angreb har brugt ondsindede browserudvidelser, herunder Chrome-udvidelser. For eksempel i maj udgav Wikimedia Foundation en advarsel om en Google Chrome-udvidelse, der indsatte rogue-annoncer på Wikipedia-sider.

Google stoppede i juli at tillade, at Chrome-udvidelser blev installeret fra tredjepartswebsteder, hvilket kun begrænsede online-installationer til udvidelser fundet i den officielle Chrome Webshop.

Dette gjorde det sværere for angribere at distribuere ondsindede udvidelser, men forhindrede ikke malware i at installere uhyggelige Chrome-udvidelser på et allerede kompromitteret system ved hjælp af offline metoder. De kommende 25 ændringer i Chrome 25 tager sigte på at klare det.

"Jeg tror, ​​det er et godt skridt i den rigtige retning, hvilket er en mere sikker browseroplevelse," sagde Zoltan Balazs, en it-sikkerhedsforsker fra Ungarn, mandag via email. Balazs har tidligere lavet proof of concept-ondsindede udvidelser til Firefox, Chrome og Safari for at demonstrere, hvor kraftige sådanne værktøjer kan være i hænderne på angribere.

Balazs 'forskning, som blev præsenteret på flere sikkerhedskonferencer i år, viste hvordan fjernstyrede rogue browser extensions kan ændre indholdet af websider, tage skærmbilleder gennem computerens webcam, fungere som en omvendt HTTP proxy i det interne netværk, downloade, uploade og udføre filer, bruges til distribueret adgangskode hash cracking og meget mere.

Selvom de kommende ændringer i Chrome 25 vil gøre livet sværere for angribere, kan et stykke malware stadig potentielt erstatte hele Chrome-installationen med en bagdør, sagde Balazs. Han pegede på den første af de 10 ubarmhjertige lovgivninger om sikkerhed som udgivet af Microsoft, der lyder: "Hvis en dårlig fyr kan overtale dig til at køre sit program på din computer, er det ikke din computer længere."

I juli, da Google forbyde Chrome-udvidelsesinstallationer fra tredjepartswebsteder, sagde firmaet også, at det vil begynde at analysere alle udvidelser, der er angivet i Chrome Webshop for ondsindet adfærd, og fjerne de overfaldende.

Pas på svindel

Der er dog blevet fundet ondsindede udvidelser i Chrome Webshop ved flere lejligheder siden da, hvilket tyder på, at Googles udvidelses-scannings- og revisionsmekanisme kan blive omgået. Den 30. august advarede forskere fra Barracuda Networks, at Facebook-svindlere formåede at lure over 90.000 brugere for at installere flere ondsindede Chrome-udvidelser, der blev hostet i Chrome Webshop, før udvidelserne blev fjernet af Google.

En 20. december advarsel fra Facecrooks, en gruppe der overvåger Facebook-trusler, advarede om en svindel, der lurede brugere i at installere en uhyggelig Chrome-udvidelse ved at hævde, at det ændrer farveskemaet af deres Facebook-profil.

Ifølge Balazs er det faktum, at ondsindede udvidelsesudviklere klarer at omgå Chrome Web Store malware-detektionssystemer er ikke så overraskende.

Forklarer JavaScript-kode eller skjuler ondsindede funktioner inden for andre ikke-ondsindede funktioner eller skaber ikke-ondsindede udvidelser og tilføjer skadelige funktioner i en opdatering, er det meget nemt, sagde Balazs. "Det er det samme katte- og musespil, som vi ser mellem malware-udviklere og AV-branchen."

"Nu er Google den sikkerhedsstandard, når det gælder sikkerhed for browserudvidelser," sagde Balazs. Et stort skridt fremad for Google ville imidlertid være at deaktivere den gamle NPAPI (Netscape Plugin Application Programming Interface) pluginarkitektur overalt - den er nu deaktiveret i Chrome til Windows 8 Metro og Chromebook - og fremme den sikrere og sandboxede Native Client-arkitektur, sagde han.