防堵挖礦惡意程式!谷歌為Chrome擴充程式制定嚴格規則
夕雨/張詠晴編譯
2018-10-03 15:05

區塊鏈的「慢錢主義」Google,正在為Chrome擴充程式制定更嚴格的規則,此舉將降低密碼被破解和挖礦惡意程式所帶來的風險。

 

這家網路和技術巨頭週一宣布,正計劃對Chrome瀏覽器處理那些請求廣泛權限的擴充程式的方式,進行修改,並改變開發人員透過Chrome網路商店,來分發擴充程式的規則。

 

Google在一篇文章中表示:「重要的是用戶能夠信任他們安裝的擴充程式是安全的、具有隱私保護的和性能正常的。擴充程式的功能和數據訪問的範圍,對於用戶來說應該保持完全透明。」

 

該公司解釋說,從Chrome 70版本(目前處於beta測試階段)開始,用戶將能夠限制擴充程式對自定義站點列表的訪問,或者讓擴充程式在每次訪問一個頁面時,都先要求權限。

 

Google補充說,請求「強大權限」的Chrome擴充程式,將受到「額外的合規性審查」。

 

「我們也在密切關注使用遠程託管代碼的擴充程式,並進行持續監控。」Google解釋了這一舉動,並表示:「雖然主機權限已經允許了成千上萬的強大和具有創造性的擴充程式用例,但它們也導致了廣泛的誤用_無論是惡意的還是無意的。我們的目標是提高用戶透明度,並控制擴充程式能夠訪問的數據。」

 

Google還表示,從週一開始,Chrome網路商店將不再允許使用隱藏或模糊代碼的擴充程式。它補充說,現有的代碼混亂的擴充程式,有90天的時間來遵守新規則。

 

根據這篇文章,Google在Chrome網路商店封鎖的超過70%的「惡意和違反規定的擴充程式」,其中包含了混亂的代碼。

 

此外,由於這種混淆「主要用於隱藏代碼功能」,它大大增加了Chrome擴充程式審查過程中的複雜性。Google表示:「考慮到前面提到的審查過程的變化,這種混淆不再是可以接受的。」

 

在2019年的最後一項安全措施中,所有的擴充程式開發者帳戶,都必須透過兩步驟驗證來保護,以降低駭客入侵帳戶的風險。

 

過去,網路犯罪分子曾使用Chrome擴充程式來入侵受害者的電腦。例如,就在一個月前,駭客們將一個惡意版本的Mega擴充程式上傳到了網路商店。

 

根據ZDNet的說法,在接下來的幾個小時裡,使用官方安裝程式的人,他們的帳戶都因此而被侵入_包括MyEtherWallet和MyMonero加密貨幣錢包的用戶,以及去中心化交易所IDEX的用戶。

 

今年4月,Chrome網路商店封鎖了挖掘加密貨幣的擴充程式,無論這種挖礦是否是故意的。

 

本文為巴比特資訊授權刊登,原文標題為「谷歌計劃實施更嚴格Chrome擴充程式規則,降低挖礦惡意軟件風險」