Chrome-update versterkt het gebruikersbeheer via extensies

Vanaf versie 25 van Google Chrome worden browserextensies die offline door andere toepassingen zijn geïnstalleerd, pas ingeschakeld nadat gebruikers hun toestemming hebben gegeven via een dialoogvenster in de browserinterface.

op het moment dat ontwikkelaars verschillende opties hebben om extensies offline te installeren - zonder gebruik te maken van de browserinterface - in Google Chrome voor Windows. Een daarvan is het toevoegen van speciale vermeldingen in het Windows-register die Chrome vertellen dat een nieuwe extensie is geïnstalleerd en moet worden ingeschakeld.

"Deze functie was oorspronkelijk bedoeld om gebruikers toe te staan ​​zich aan te melden voor het toevoegen van een nuttige extensie aan Chrome als een deel van de installatie van een andere applicatie, "Peter Ludwig, Google's productmanager van Chrome Extensions, zei vrijdag in een blogpost. "Helaas is deze functie op grote schaal misbruikt door derden om extensies onophoudelijk in Chrome te installeren zonder de juiste erkenning van gebruikers."

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Om dit type te voorkomen van misbruik, te beginnen met Chrome 25, zal de browser automatisch alle eerder geïnstalleerde "externe" extensies uitschakelen en zal de gebruikers een eenmalig dialoogvenster presenteren om te kiezen welke ze opnieuw willen inschakelen.

Bovendien zijn alle extensies die zijn geïnstalleerd met behulp van de offlinemethoden worden standaard uitgeschakeld en de gebruiker zal worden gevraagd of ze deze willen inschakelen wanneer de browser opnieuw wordt gestart.

Mozilla heeft een vergelijkbaar mechanisme meer dan een jaar geleden in Firefox geïmplementeerd om te voorkomen dat extensies offline worden geïnstalleerd door andere programma's worden ingeschakeld zonder bevestiging van de gebruiker.

Beveiligingsproblemen

Veel aanvallen hebben kwaadaardige browserextensies gebruikt, waaronder Chrome-extensies. In mei heeft de Wikimedia Foundation bijvoorbeeld een melding uitgegeven over een Google Chrome-extensie die valse advertenties in Wikipedia-pagina's invoegde. In juli stopte Google met het toestaan ​​van het installeren van Chrome-extensies van websites van derden, waardoor alleen online installaties werden beperkt naar extensies gevonden in de officiële Chrome Web Store.

Hierdoor was het moeilijker voor aanvallers om kwaadaardige extensies te distribueren, maar werd niet voorkomen dat malware rogue Chrome-extensies installeerde op een reeds gecompromitteerd systeem met behulp van de offline methoden. De aankomende Chrome 25-wijzigingen proberen daar iets aan te doen.

"Ik denk dat het een goede stap in de goede richting is, wat een veiliger browse-ervaring is", zei Zoltan Balazs, een IT-beveiligingsonderzoeker uit Hongarije, maandag via e-mail. Balazs creëerde eerder proof-of-concept kwaadaardige extensies voor Firefox, Chrome en Safari om aan te tonen hoe krachtig dergelijke tools in handen van aanvallers kunnen zijn.

Het onderzoek van Balazs, dat dit jaar op verschillende veiligheidsconferenties werd gepresenteerd, liet zien hoe op afstand bestuurde frauduleuze browserextensies de inhoud van webpagina's kunnen wijzigen, schermafbeeldingen maken via de webcam van de computer, fungeren als een reverse HTTP-proxy in het interne netwerk, bestanden downloaden, uploaden en uitvoeren, worden gebruikt voor hash-kraken met gedistribueerd wachtwoord en meer.

Hoewel de komende wijzigingen in Chrome 25 het leven voor aanvallers moeilijker zullen maken, kan een stukje malware mogelijk de hele Chrome-installatie vervangen door een back-up, zegt Balazs. Hij wees op de eerste van de "10 onveranderlijke wetten van veiligheid" zoals gepubliceerd door Microsoft, die luidt: "Als een slechterik u kan overtuigen om zijn programma op uw computer uit te voeren, is het niet uw computer meer."

In juli, toen Google Chrome-extensie-installaties van websites van derden verbood, zei het bedrijf ook dat het alle in de Chrome Web Store vermelde extensies voor kwaadwillend gedrag gaat analyseren en de aanstootgevende fouten zal verwijderen.

Pas op voor oplichting

Sindsdien zijn er sindsdien meerdere keren schadelijke extensies gevonden in de Chrome Web Store, wat suggereert dat het scansysteem en het beoordelingsmechanisme van Google kunnen worden omzeild. Op 30 augustus waarschuwden onderzoekers van Barracuda Networks dat Facebook-oplichters meer dan 90.000 gebruikers hebben misleid om verschillende kwaadaardige Chrome-extensies te installeren die worden gehost in de Chrome Web Store voordat de extensies door Google zijn verwijderd.

Een waarschuwing van 20 december van Facecrooks, een groep die Facebook-bedreigingen bewaakt, waarschuwde voor een scam die gebruikers ertoe verleidde een rogue Chrome-extensie te installeren door te beweren dat het het kleurenschema van hun Facebook-profiel veranderde.

Volgens Balazs is het feit dat kwaadwillende extensieontwikkelaars het Chrome-web weten te omzeilen De malwaredetectiesystemen van Store zijn niet zo verwonderlijk.

Obscure van JavaScript-code of het verbergen van kwaadaardige functies in andere niet-schadelijke functies, of het maken van niet-kwaadaardige extensies en het toevoegen van kwaadaardige functies aan een update, is heel eenvoudig, zei Balazs. "Het is hetzelfde kat- en muisspel dat we zien tussen malware-ontwikkelaars en de AV-industrie."

"Op dit moment is Google de beveiligingsstandaard als het gaat om de beveiliging van browserextensies," zei Balazs. Eén grote stap voorwaarts voor Google zou echter zijn om de oude NPAPI-plugin-architectuur (Netscape Plugin Application Programming Interface) overal uit te schakelen-het is nu uitgeschakeld in Chrome voor Windows 8 Metro en Chromebook-en de meer beveiligde en sandboxed Native Client-architectuur te promoten, zei hij.