Mayor Seguridad en extensiones de Google Chrome

Google en un esfuerzo adicional por mantener un internet más seguro ha decidido publicar una serie de medidas de seguridad éste lunes que son bastante convenientes y una de ellas está directamente relacionada con su navegador Chrome, nos referimos a las “extensiones”.

Las extensiones o complementos son tremendamente populares, ya sea porque agregan funcionalidades o permiten ahorrar tiempo en consulta de información y aceleran procesos, es por ello que son un objetivo común para los ciberdelincuentes que han encontrado un nicho para explotar vulnerabilidades e implementar código malicioso.

Un aspecto que no ha quedado muy claro en las extensiones es la falta de transparencia en el código y esto se ha traducido en extensiones “infectadas” que pueden tomar ventaja de los recursos del equipo desde minar criptomonedas en segundo plano hasta lograr convencer a los usuarios a instalar o actualizar extensiones con código malicioso. Para detener esto, Google a través de James Wagner que es el gerente de producto de las extensiones de Chrome ha comunicado que: “La tienda web de Chrome no permitirá extensiones con código ofuscado” en un post en el Chromium Blog y ha tomado efecto inmediato.

Para tomar dimensiones correctas, en agosto del 2018 el navegador demostró tener una gran ventaja en el mercado de usuarios de escritorio con el 67.66%, en segundo lugar, se encuentra Mozilla Firefox con solo el 10.96% mientras que el resto de la partida se la quedan Internet Explorer con el 6.97%, Safari con el 5.13% y Microsoft Edge con el 4.24% respectivamente.

Existen alrededor de 180,000 extensiones disponibles en la Chrome Web Store y un sinfín más que hasta la fecha pueden ser descargadas desde otros sitios y no directamente de la tienda de Chrome permitiendo a los usuarios instalarlas poniéndolos en riesgo, por ello hace poco se deshabilitaron las instalaciones en línea para las extensiones existentes, lo que significa que si tienes extensiones instaladas en Chrome desde sitios web de terceros, te redirigirá automáticamente a la Chrome Web Store para completar la instalación, siendo esto una especie de candado que genera confianza y seguridad del origen.

Y es que ocurre que la mayoría de los desarrolladores prestan poca o nula atención a la seguridad a la hora de crear una extensión e implementarla.

Con la próxima actualización de Google Chrome 70 se vienen los siguientes cambios:

  • Control del usuario para permisos: Los usuarios podrán controlar como y cuando la extensión de Chrome controlará los datos, restringir el acceso en una lista personalizada de sitios y hasta configurarlas para que sea necesario un clic para brindar acceso a la página web.
  • Cambios en el proceso de revisión de extensiones: Aquellas extensiones que soliciten permisos avanzados serán sujetas a una revisión adicional para cumplimentar las nuevas políticas, así como un análisis detallado a aquellas extensiones que utilizan código alojado remotamente con monitoreo continuo.
  • Legibilidad del código: Chrome Web Store ya no permite extensiones con código ofuscado. Esta nueva política se aplica de manera inmediata a todas las nuevas versiones o extensiones para su aprobación en la tienda. En caso de que una extensión lo tuviese el desarrollador tendrá hasta 90 días para removerlo.

Y para Google Chrome 71, que saldrá en enero del 2019:

  • Identificación en dos pasos (two-factor verification): Esto aplicará para las cuentas de desarrollador de la Chrome Web Store debido a los múltiples ataques de tipo phishing que buscan robar cuentas para actualizar extensiones con código malicioso.
  • Cambios en Manifest v3: Google dará a conocer la nueva versión de este regulador para extensiones (manifest.json) el cual proveerá mayor seguridad, privacidad y promete mejorar el rendimiento.

Recomendamos tener activadas las actualizaciones automáticas del navegador para obtener estos beneficios de seguridad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *