Car-tech

Chromeの更新により拡張機能に対するユーザーコントロールが強化されます

therunofsummer

therunofsummer

目次:

Anonim

Google Chromeのバージョン25から、他のアプリケーションによってオフラインでインストールされたブラウザ拡張機能は、ブラウザインタフェースのダイアログボックスから許可を得なければ有効になりません。

開発者がGoogle Chrome for Windowsのブラウザインターフェイスを使用せずにオフラインでエクステンションをインストールするオプションがいくつかあります。そのうちの1つには、Windowsレジストリに特別なエントリを追加して、新しい拡張機能がインストールされていることをChromeに知らせる必要があります。

"この機能はもともと、ユーザーがChromeに便利な拡張機能をGoogleのChrome ExtensionsのプロダクトマネージャーであるPeter Ludwigは、別のアプリケーションのインストールの一部として、ブログの記事で金曜日に述べた。 「残念ながら、この機能は、第三者によって、ユーザーからの適切な承認なしに、Chromeに拡張機能を静かにインストールするために広く濫用されています。」[

] [詳しい情報:Windows PCからマルウェアを削除する方法]

Chrome 25以降、ブラウザは以前にインストールされたすべての拡張機能を自動的に無効にし、ユーザーに一度有効にする機能を選択するためのダイアログボックスを表示します。

さらに、すべての拡張機能

Mozillaは1年以上前にFirefoxで拡張機能がオフラインになるのを防ぐために非常に似た仕組みを実装しています

セキュリティ上の懸念

多くの攻撃では、Chrome拡張機能を含む悪意のあるブラウザ拡張機能が使用されています。たとえば、5月にWikimedia Foundationは、Wikipediaのページに不正な広告を挿入していたGoogle Chromeの拡張機能に関する警告を出しました。

Googleは7月、サードパーティのウェブサイトからChrome拡張機能をインストールすることを中止し、

これにより、悪意のある拡張機能を攻撃者が配布することは困難になりましたが、悪意のあるソフトウェアが悪意のあるChrome拡張機能を、既に侵害されたシステムにオフラインの方法でインストールすることはできませんでした。

ハンガリーのITセキュリティ研究者、ゾルタン・バラズ氏は、「より安全なブラウジング体験であることは正しい方向に向かう良いステップだと思う」と、電子メールで月曜日に語った。 Balazsは以前、Firefox、Chrome、Safariの悪意のある拡張機能の証明書を作成し、攻撃者の手にそのようなツールがどれだけ強力であるかを実証した。

今年のセキュリティ会議で発表されたBalazsの調査では、どのようにリモートコントロールされた悪意のあるブラウザの拡張機能は、Webページのコンテンツを変更し、コンピュータのWebカメラを介してスクリーンショットを撮り、内部ネットワークへの逆HTTPプロキシとして動作し、ファイルをダウンロードし、アップロードして実行し、分散パスワードハッシュクラッキングなどに使用できます。

Chrome 25の今後の変更により、攻撃者の生活はますます難しくなりますが、マルウェアの一部はChromeのインストール全体をバックドアに置き換える可能性があります。同氏は、「悪意のある人があなたのコンピュータ上でプログラムを実行するように説得することができれば、それはあなたのコンピュータではない」とマイクロソフト社が発表した「セキュリティの10の不変の法則」の第1号を指摘した。

Googleが第三者のウェブサイトからChrome拡張機能のインストールを禁止したとき、Chromeウェブストアに記載されているすべての拡張機能の悪質な行為の分析を開始し、問題のある行為を削除すると述べた。

詐欺には注意してください

しかし、Chromeウェブストアでは複数の機会に悪意のある拡張機能が発見されており、Googleの拡張スキャンとレビューの仕組みをバイパスすることができます。 8月30日、バラクーダネットワークスの研究者は、Facebookの詐欺師が、拡張機能がGoogleによって削除される前にChromeウェブストアにホストされているいくつかの悪意のあるChrome拡張機能をインストールするために90,000人を超えるユーザーを騙そうとしていると警告した。

12月20日、Facecrooks Facebookの脅威を監視するFacebookの脅威を監視し、悪質な拡張機能の開発者がChromeウェブを迂回することができるというBalazsによると、 Balazs氏によると、Storeのマルウェア検出システムはそれほど驚くべきことではない。

JavaScriptコードの難読化や他の非悪意のある機能での悪意のある機能の隠蔽、悪意のある拡張機能の作成、悪意のある機能の追加などは簡単だ。 「これは、マルウェア開発者とAV業界の間で見られるのと同じ猫とマウスのゲームです。」「Balazs氏は、「現在、Googleはブラウザ拡張セキュリティに関するセキュリティ標準です。しかし、Googleのメジャーなステップは、以前のNPAPI(Netscape Plugin Application Programming Interface)プラグインアーキテクチャをどこからでも無効にすることです.Windows 8 MetroやChromebookのChromeでは無効になっており、より安全でサンドボックス化されたNative Clientアーキテクチャを促進し、彼は言った。