Chrome uppdatering stärker användarkontroll över tillägg

Från och med version 25 i Google Chrome aktiveras inte webbläsarutvidgningar som är installerade offline av andra program tills användarna ger sitt tillstånd genom en dialogruta i webbläsarfränssnittet. I ögonblicket utvecklare har flera alternativ för att installera tillägg offline - inte använda webbläsargränssnittet - i Google Chrome för Windows. En av dem innebär att du lägger till särskilda poster i Windows-registret som berättar för Chrome om att en ny tillägg har installerats och bör aktiveras.

"Den här funktionen var ursprungligen avsett att tillåta användare att logga in för att lägga till en användbar tillägg till Chrome som en del av installationen av en annan applikation, säger Peter Ludwig, Googles produktchef för Chrome Extensions, på fredag ​​i ett blogginlägg. "Tyvärr har den här funktionen varit allmänt missbrukad av tredje part för att installera tillägg i tyst utan att korrekt bekräftelse från användarna."

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

För att förhindra denna typ av misstag som börjar med Chrome 25, avaktiverar webbläsaren automatiskt alla tidigare installerade "externa" tillägg och presenterar användare med en engångs dialogruta för att välja vilka som de vill aktivera igen.

Dessutom kommer alla tillägg som installeras med offline-metoder kommer att inaktiveras som standard och användaren kommer att bli ombedd om de vill aktivera dem när webbläsaren startas om.

Mozilla implementerade en mycket liknande mekanism för över ett år sedan i Firefox för att förhindra att tillägg installerades offline av andra program från att vara aktiverat utan användarbekräftelse.

Säkerhetsproblem

Många attacker har använt skadliga webbläsare, inklusive Chrome-tillägg. I maj utgav Wikimedia Foundation en varning om en Google Chrome-förlängning som infogade rogue-annonser på Wikipedia-sidor.

I Google slutade Google att tillåta att Chrome-tillägg installeras från tredje parts webbplatser, vilket begränsar endast online-installationer till förlängningar som finns i det officiella Chrome Web Store.

Det gjorde det svårare för angripare att distribuera skadliga tillägg, men hindrade inte att skadlig programvara installerade skurkroppsförlängningar på ett redan kompromissat system med offline-metoder. Den kommande Chrome 25-ändringen syftar till att ta itu med det.

"Jag tror att det är ett bra steg i rätt riktning, vilket är en säkrare webbläsarupplevelse", säger Zoltan Balazs, en IT-säkerhetsforskare från Ungern, via måndag via e-post. Balazs skapade tidigare proof-of-concept skadliga tillägg för Firefox, Chrome och Safari för att visa hur kraftfulla sådana verktyg kan vara i attackerens händer.

Balazs forskning, som presenterades vid flera säkerhetskonferenser i år, visade hur fjärrstyrda oseriösa webbläsarutvidgningar kan ändra innehållet på webbsidor, ta skärmbilder via datorns webbkamera, fungera som en omvänd HTTP-proxy i det interna nätverket, ladda ner, ladda upp och exekvera filer, användas för distribuerad lösenordshacksprickning med mera.

Även om de kommande ändringarna i Chrome 25 kommer att göra livet svårare för angripare, kan en del skadlig kod fortfarande potentiellt ersätta hela Chrome-installationen med en bakdörr, sa Balazs. Han pekade på den första av "10 oföränderliga säkerhetslagar" som publicerades av Microsoft, som lyder: "Om en dålig kille kan övertyga dig att köra hans program på datorn, är det inte din dator längre."

I juli, när Google förbjöd Chrome-tilläggsinstallationer från webbplatser från tredje part, sa företaget också att det kommer att börja analysera alla tillägg som anges i Chrome Web Store för skadligt beteende och kommer att ta bort de kränkande.

Akta dig för bedrägerier

Emellertid har skadliga tillägg hittats i Chrome Web Store vid flera tillfällen sedan dess, vilket tyder på att Googles system för förlängningsskanning och granskning kan kringgå. Den 30 augusti varnade forskare från Barracuda Networks att Facebook-scammers lyckades lura över 90 000 användare för att installera flera skadliga Chrome-tillägg som var värd i Chrome Web Store innan tillägget togs bort av Google.

En 20 december varning från Facecrooks, en grupp som övervakar Facebook-hot, varnade för en bluff som lurade användare på att installera en skumlig Chrome-förlängning genom att hävda att det ändrar färgschemat för sin Facebook-profil.

Enligt Balazs är det faktum att skadliga utvidgningsutvecklare lyckas kringgå Chrome Webben Butikens malware detekteringssystem är inte så överraskande.

Det är väldigt enkelt att förklara JavaScript-kod eller dölja skadliga funktioner inom andra icke-skadliga funktioner, eller skapa icke-skadliga tillägg och lägga till skadliga funktioner i en uppdatering. "Det är samma katt- och musspel som vi ser mellan malwareutvecklare och AV-industrin."

"Just nu är Google säkerhetsstandard när det gäller säkerhetstillägg för webbläsare," sa Balazs. Ett stort steg framåt för Google skulle emellertid vara att stänga av den gamla NPAPI-pluginarkitekturen (Netscape Plugin Application Programming Interface). Det är nu inaktiverat i Chrome för Windows 8 Metro och Chromebook och främja den säkrare och sandboxade Native Client-arkitekturen, sade han.