Después de que el cryptojacking y los hackeos aumentaron en Google Chrome, que hasta ahora no tenían muchas restricciones, la compañía hizo un anuncio el lunes, donde el gigante tecnológico declaró que planea cambiar la forma en que Chrome maneja las extensiones que solicitan permisos extensos, además de estar ajustando las reglas para los desarrolladores que distribuyen extensiones a través de Chrome Web Store.
Con Chrome 70, que actualmente está en versión beta, los usuarios podrán restringir las extensiones para acceder solo a una lista personalizada de páginas web, o configurar extensiones para que requieran permiso cada vez que necesiten acceder a una página, explica la compañía.
Google también agrega que las extensiones que solicitan permisos importantes estarán sujetas a una revisión de cumplimiento adicional; además habrán nuevos requisitos para la lectura de códigos, lo que significa que ya no se permitirán códigos ocultos para las extensiones. Esta política se aplicará inmediatamente a todas las nuevas presentaciones de extensión.
La gigante de tecnología expresó: “Hoy en día, más del 70% de las extensiones maliciosas y que violan las políticas que bloqueamos en Chrome Web Store contienen un código confuso. Al mismo tiempo, como la ofuscación se utiliza principalmente para ocultar la funcionalidad del código, agrega una gran complejidad a nuestro proceso de revisión. Esto ya no es aceptable dados los cambios en el proceso de revisión antes mencionado”.
Por otro lado también las extensiones existentes podrán enviar actualizaciones durante el próximo mes y medio, pero se eliminarán en 2019 en caso de no cumplir con la nueva normativa.
Como medida de seguridad adicional, Google anunció que las cuentas de los desarrolladores de Chrome Web Store requerirán una verificación en dos pasos con el objetivo de reducir el riesgo de que los piratas informáticos tomen una cuenta.
No es misterio para nadie que los ciberdelincuentes han utilizado las extensiones de Chrome para proporcionar acceso a las computadoras de las víctimas en el pasado. Hace aproximadamente un mes, se había subido una versión maliciosa de la extensión Mega a la Web Store y las personas que usaron el instalador oficial en las próximas horas tenían sus cuentas comprometidas.
Google también se ha visto obligado a tomar importantes medidas contra las extensiones que utilizan dispositivos de descarga para minar criptomonedas sin su conocimiento. En abril, la Web Store bloqueó dichas extensiones, ya sea que la minería fuera o no una característica deliberada.
