/ 安全問題

Google加強Chrome擴充功能規範 提升加密貨幣安全

Google正在為Chrome擴充功能開發者研擬更嚴格的規範,此舉應該可以降低加密貨幣駭客攻擊和挖礦惡意軟體的風險。

Google於10月1日宣布,計劃對Chrome在擴充功能的處理權限進行一系列更改,並且加強透過Chrome線上應用程式商店發布擴充功能程式開發人員的規範。

Google在一篇Blog文章中表示:

用戶要能相信他們安裝的擴充功能是安全的、保障隱私且高效能的,這是非常重要。用戶應該完全了解擴充功能和資料訪問的範圍。

Google解釋說,預計於10月底推出的Chrome 70(目前處於測試階段),用戶將能夠限制擴充功能程式對自定義網站列表的訪問權限,或者設定擴充功能程式在每次需要訪問頁面時要求權限。

Google補充說,要求「強大權限」的擴充功能程式將受到「額外的合規性審核」。

文中表示:

我們也在密切關注使用遠程託管代碼的擴充功能,並持續監控。

Google解釋了此項措施,表示:

雖然權限的釋出已經讓千上萬的強大且具創造性的擴充功能程式能以發展,但也導致了大量的濫用,無論是惡意還是無意的。我們的目標是提高用戶透明度及當擴充功能程序能夠訪問網站數據時控制權限。

Google還表示,從10月1日起,Chrome線上應用程式商店將不再允許使用隱藏或混淆代碼的擴充功能程式。具有混淆代碼的現有擴充功能必須在90天內符合新規範。

文章中表示,Google從線上商店攔截的超過70%的「惡意和違反政策的擴充功能」,包含混淆代碼。此外,由於混淆「主要用於隱藏代碼功能」,因此大幅增加了Google擴充功能審核流程的複雜性。

Google表示:

鑑於上述審核流程的變化,這種情況將不再被接受。

在2019年最終的安全措施中,所有擴充功能開發者帳戶都必須通過兩步驟驗證(2FA)進行保護,以降低駭客取得帳戶的風險。

過去,網絡罪犯者使用Chrome擴充功能程序來取得對受害者電腦的訪問權限。

據ZDNet報導,在一個月前,駭客將惡意版本的Mega擴充功能程序上傳到線上應用程式商店。接下來的幾個小時內使用官方安裝程式用戶的帳戶遭到入侵,包括MyEtherWallet和MyMonero加密錢包的用戶,以及去中心交易所IDEX。

Google也正在打擊使用下載者的設備,在他們不知情的情況下挖掘加密貨幣的擴充功能。幣東先前曾報導,Google線上應用程式商店禁止了挖掘加密貨幣的擴充功能,無論是否有加密貨幣挖礦的特徵。

Harry

Harry

畢業於成功大學,目前全力關注台灣幣圈與區塊鏈發展,分享與撰寫相關相關資訊。 與我們聯絡:coineast.com@gmail.com

Read More