Aggiornamento Chrome rafforza il controllo dell'utente su estensioni

A partire dalla versione 25 di Google Chrome, le estensioni del browser installate offline da altre applicazioni non saranno abilitate fino a quando gli utenti non autorizzeranno l'utente attraverso una finestra di dialogo nell'interfaccia del browser.

A nel momento in cui gli sviluppatori hanno diverse opzioni per installare le estensioni offline, non utilizzando l'interfaccia del browser, in Google Chrome per Windows. Uno di questi comporta l'aggiunta di voci speciali nel registro di Windows che indicano a Chrome che è stata installata una nuova estensione che deve essere abilitata.

"Questa funzione era originariamente pensata per consentire agli utenti di optare per l'aggiunta di un'utile estensione a Chrome come una parte dell'installazione di un'altra applicazione ", ha detto Peter Ludwig, product manager di Google di Chrome Extensions, in un post sul blog. "Sfortunatamente, questa funzione è stata ampiamente abusata da terze parti per l'installazione silenziosa di estensioni in Chrome senza il riconoscimento appropriato da parte degli utenti."

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Per evitare questo tipo di abuso, a partire da Chrome 25, il browser disabiliterà automaticamente tutte le estensioni "esterne" precedentemente installate e presenterà agli utenti una finestra di dialogo unica per scegliere quali desideri riattivare.

Inoltre, tutte le estensioni che vengono installati utilizzando i metodi offline saranno disabilitati per impostazione predefinita e all'utente verrà chiesto se desiderano attivarli al riavvio del browser.

Mozilla ha implementato un meccanismo molto simile più di un anno fa in Firefox per impedire che le estensioni installate offline da altri programmi dall'abilitazione senza conferma da parte dell'utente.

Problemi di sicurezza

Molti attacchi hanno utilizzato estensioni del browser dannose, comprese le estensioni di Chrome. Ad esempio, a maggio, la Wikimedia Foundation ha emesso un avviso su un'estensione di Google Chrome che stava inserendo annunci canaglia nelle pagine di Wikipedia.

A luglio, Google ha smesso di consentire l'installazione di estensioni di Chrome da siti Web di terze parti, limitando solo le installazioni online alle estensioni trovate nel Chrome Web Store ufficiale.

Ciò ha reso più difficile agli aggressori la distribuzione di estensioni dannose, ma non ha impedito al malware di installare estensioni di Chrome non autorizzate su un sistema già compromesso utilizzando i metodi offline. Le imminenti modifiche di Chrome 25 mirano a risolverlo.

"Penso che sia un buon passo nella giusta direzione, che è un'esperienza di navigazione più sicura", ha detto lunedì via email Zoltan Balazs, un ricercatore di sicurezza IT dall'Ungheria. Balazs creato in precedenza proof-of-concept estensioni maligni per Firefox, Chrome e Safari per dimostrare quanto potente tali strumenti possono essere nelle mani di attaccanti.

ricerca Balazs', che è stato presentato in diverse conferenze sulla sicurezza di quest'anno, ha mostrato come estensioni del browser canaglia comandati a distanza possono modificare il contenuto delle pagine web, catturare schermate attraverso webcam del computer, agire come un proxy HTTP inverso nella rete interna, scaricare, caricare ed eseguire file, essere utilizzati per distribuire hash della password cracking e di più.

Anche se i prossimi cambiamenti in Chrome 25 renderanno la vita più difficile per gli aggressori, un malware potrebbe ancora sostituire l'intera installazione di Chrome con una backdoor, ha detto Balazs. Indicò la prima delle "10 leggi immutabili di sicurezza", come pubblicato da Microsoft, che recita: "Se un cattivo può convincerti a eseguire il suo programma sul tuo computer, non è più il tuo computer."

A luglio, quando Google ha bandito le installazioni di estensioni di Chrome da siti Web di terze parti, la società ha anche affermato che inizierà l'analisi di tutte le estensioni elencate nel Chrome Web Store per comportamenti dannosi e rimuoverà quelle che infrangono.

Attenzione alle truffe

Tuttavia, da allora, sono state trovate estensioni dannose nel Chrome Web Store in più occasioni, suggerendo che il meccanismo di scansione e revisione delle estensioni di Google può essere ignorato. Il 30 agosto, i ricercatori di Barracuda Networks hanno avvertito che gli scammer di Facebook sono riusciti a ingannare oltre 90.000 utenti per installare diverse estensioni Chrome dannose ospitate nel Chrome Web Store prima che le estensioni fossero rimosse da Google.

Un avviso del 20 dicembre da Facecrooks, un gruppo che monitora le minacce di Facebook, ha avvertito di una truffa che ha indotto gli utenti a installare un'estensione di Chrome canaglia affermando che cambia lo schema dei colori del proprio profilo Facebook.

Secondo Balazs, il fatto che gli sviluppatori di estensioni maligne riescano a bypassare il Chrome Web I sistemi di rilevamento malware del negozio non sono poi così sorprendenti.

È stato facilitato l'occultamento del codice JavaScript o l'occultamento di funzioni maligne all'interno di altre funzioni non dannose, la creazione di estensioni non dannose e l'aggiunta di funzioni dannose in un aggiornamento. "È lo stesso gioco di gatto e topo che vediamo tra gli sviluppatori di malware e l'industria AV."

"Al momento Google è lo standard di sicurezza per quanto riguarda la sicurezza dell'estensione del browser", ha detto Balazs. Tuttavia, un grande passo avanti per Google sarebbe disabilitare la vecchia architettura di plugin NPAPI (Netscape Plugin Application Programming Interface) ovunque - ora è disabilitata in Chrome per Windows 8 Metro e Chromebook - e promuovere l'architettura Native Client più sicura e in modalità sandbox, ha detto.