Google ужесточает правила для расширений Chrome во избежание криптоджекинга
Москва, 20:39, 04 Окт 2018, редакция FTimes.ru, автор Сергей Кузнецов.
Новые требования должны усложнять скрытый майнинг криптовалют (криптоджекинг).
В понедельник в блоге Google менеджер расширений Chrome Джеймс Вагнер изложил некоторые изменения политики для расширений, предлагаемых в интернет-магазине Google Chrome. Он написал:
«Недавно мы предприняли ряд шагов по повышению безопасности при расширении с запуском внепроцессных фреймов, удалением встроенной установки и значительными достижениями в нашей способности обнаруживать и блокировать вредоносные расширения с помощью машинного обучения».
Кажется, что изменения имеют целью сужение разрешений для расширений, а также повышение прозрачности расширений. По крайней мере, одно из изменений, вероятно, уменьшит случаи криптоджекинга, проблемы, с которыми ранее сталкивался Интернет-магазин Chrome.
В апреле Вагнер объявил, что в магазине запрещаются все расширения криптодобычи. До этого были разрешены расширения для майнинга, но только если пользователи были надлежащим образом проинформированы об этом, а майнинг была единственной, прямой целью расширения.
Он писал тогда: «К сожалению, примерно 90% всех расширений с помощью скриптов для майнинга … не соответствовали этим политикам и были либо отклонены, либо удалены из хранилища».
В недавнем обновлении политики говорится, что расширения с обфускационным кодом больше не будут разрешены в Интернет-магазине Chrome. Обфускация скрывает исходный код расширения, позволяя скрыть от пользователей, загружающих его, функциональные возможности, возможно, вредоносные, такие как те, которые могут использоваться для криптомайнинга. Вагнер пишет:
«Сегодня более 70% вредоносных и нарушающих правила расширений, которые мы блокируем из Интернет-магазина Chrome, содержат обфускацию кода. В то же время, поскольку обфускация используется главным образом для сокрытия функциональности кода, это добавляет большую сложность в наш процесс обзора».
Хотя обфускацию кода можно использовать для скрытия реального намерения части вредоносного программного обеспечения, у нее есть законная цель предотвратить копирование фрагмента кода, тем самым защищая интеллектуальную собственность разработчика. Однако Google больше не считает, что эта защита достаточно эффективна, чтобы оправдать возможные опасности обфускации. По словам Вагнера:
«Поскольку JavaScript-код всегда выполняется локально на машине пользователя, обфускации недостаточно для защиты проприетарного кода от действительно мотивированного реверсного инженера. Методы обфускации также сопровождаются высокими издержками производительности, такими как медленное выполнение и увеличение количества файлов и памяти».
В сообщении говорится, что разработчики могут продолжать обновлять расширения со скрытым кодом в течение следующих 90 дней. Тем не менее, все расширения должны соответствовать новым требованиям к январю 2019 года.