谷歌或实施更严Chrome扩展程序规则,降低恶意挖矿风险

谷歌正在为Chrome扩展程序开发者引入更严格的规则，此举将降低密码破解和挖矿恶意软件的风险。

这家网络和技术巨头周一宣布，正计划修改Chrome浏览器处理那些请求广泛权限的扩展程序的方式，并收紧开发人员通过Chrome网络商店分发扩展程序的规则。

谷歌在一篇博客文章中说:

“重要的是用户能够信任他们安装的扩展程序是安全的、具有隐私保护的和性能正常的。扩展程序的功能和数据访问的范围对于用户来说应该保持完全透明。

该公司解释说，从Chrome 70版本(目前处于beta测试阶段)开始，用户将能够限制扩展程序对自定义站点列表的访问，或者设置扩展程序在每次访问一个页面时要求权限。

谷歌补充说，请求“强大权限”的扩展程序将受到“额外的合规性审查”。

“我们也在密切关注使用远程托管代码的扩展程序，并进行持续监控，”

该公司解释了这一举动，称“虽然主机权限已经允许了成千上万的强大和具有创造性的扩展程序用例，但它们也导致了广泛的误用——恶意的和无意的……我们的目标是提高用户透明度，并控制何时扩展程序能够访问站点数据。

谷歌还表示，从周一开始，Chrome网络商店将不再允许使用隐藏或模糊代码的扩展程序。它补充说，现有的代码混乱的扩展程序有90天的时间来遵守新规则。

根据这篇博文，谷歌在Chrome网络商店封锁的超过70%的“恶意和违反方针的扩展程序”包含混乱的代码。此外，由于这种混淆“主要用于隐藏代码功能”，它大大增加了谷歌扩展程序审查过程的复杂性。

谷歌表示:“考虑到前面提到的审查过程的变化，这种混淆不再是可以接受的。”

在2019年的最后一项安全措施中，所有的扩展程序开发者账户都必须通过两步验证来保护，以降低黑客入侵账户的风险。

过去，网络犯罪分子曾使用Chrome扩展程序来访问受害者的电脑。

例如，就在一个月前，黑客们将一个恶意版本的Mega扩展程序上传到了网络商店。根据ZDNet的说法，在接下来的几个小时里使用官方安装程序的人的账户被泄露了——包括MyEtherWallet和MyMonero加密货币钱包的用户，以及去中心化交易所IDEX的用户。

谷歌还被迫打击使用下载者设备在不知情的情况下挖掘加密货币的扩展程序。今年4月，Chrome网络商店封锁了挖掘加密货币的扩展程序，无论这种挖矿是否是故意的。