谷歌浏览器将从明年开始严格审核扩展程序提高安全性
山外的鸭子哥 谷歌浏览器的扩展应用商店和谷歌安卓应用商店那样时不时就会被发现存在恶意程序或劫持用户或收集信息。
针对这种情况谷歌准备在明年开始提高安全机制更严格审核扩展,同时启用开发者账号的两步验证防止被盗。
而恶意软件开发者最常用的代码混淆也将被排除在外,尽管代码混淆技术有助于正常开发者加密自己的应用。
以下是谷歌具体的几项措施:
1. 允许开发者账号设置两步验证登录,每次开发者登录自己的扩展程序后台管理界面都需输入两步验证代码。
背景:在过去几年里已经发生过多次黑客劫持开发者账号的情况,主要方式基本都是通过钓鱼网站诱骗密码。
黑客若成功获得开发者账号和密码会立即更新扩展程序,在里面加入后门程序劫持用户或者弹出钓鱼网站等。
启用两步验证后即便黑客成功通过钓鱼网站获得开发者账号与密码,也无法顺利登录后台面板上传恶意版本。
2. 禁止开发者在底层编码使用混淆技术,同时更加严格的审核那些需要调用执行浏览器外部组件的扩展程序。
背景:代码混淆技术原本是开发者保护自己代码采用的技术,混淆后的代码更难阅读其中的含义防止被盗等。
但越来越多的恶意扩展使用代码混淆技术躲避谷歌和外部研究人员的分析,这样可以上架后存活更长的时间。
谷歌浏览器官方称据统计超过70%的恶意扩展使用代码混淆技术,因此禁止代码混淆可以更快发现恶意扩展。
3. 严格扩展程序的权限控制,扩展程序要求获得哪些权限必须说明同时允许用户每次审核扩展程序权限调用。
背景:该举措主要是防止某些流氓扩展程序未经用户同意调用权限收集用户历史记录信息或者收集其他信息。
对于扩展程序需要调用特殊权限的谷歌将允许用户设定每次询问,即每次扩展程序需要调用都需要弹出提示。
而不是像现在这样只要点击一次同意后面便不再弹出任何通知,用户估计也想不起来某些扩展收集哪些信息。
