Las extensiones han servido para que los navegadores tengan funciones adicionales, pero últimamente también se han convertido en un medio para robar información privada de los usuarios. Google está al tanto de esta situación, por ello ha anunciado que la próxima versión de Chrome pondrá especial atención en la seguridad de las extensiones.
Google recula y permitirá desactivar el criticado inicio de sesión automático en Chrome
A partir de la versión 70, los usuarios podrán crear una lista negra de webs para que las extensiones limiten su uso a los sitios especificados. Actualmente, ya mayoría de complementos tienen los permisos necesarios para ver y manipular cualquier sitio, eso se acabó.
El navegador nos presentará tres opciones distintas para dar permisos a una extensión. La primera permitirá iniciar su funcionamiento en la página que tienes abierta en ese momento. La segunda otorgará permiso permanente sobre la web abierta. Por último, la tercera opción concederá permisos de ejecución en cualquier sitio visitado. Lo puedes apreciar mejor en la siguiente imagen:
Reglas para desarrolladores
Con esas opciones los usuarios podrán tener más control sobre las extensiones y la información a la que acceden, pero los movimientos no terminan ahí. En 2019, Google será más estricta con las aplicaciones que se publican en la Web Store. Será necesario que todos los desarrolladores se autentifiquen mediante un sistema de dos factores, lo cual evitará que los atacantes tomen el control de la cuenta de un desarrollador para inyectar código malicioso.
Otra de las medidas implementadas ha entrado en vigor desde hoy mismo: ningún complemento será aprobada cuando incluya código ofuscado (difícil de entender o leer). De acuerdo a la información proporcionada por la compañía, el 70% de las extensiones maliciosas hace uso de código ofuscado para lograr sus fines. Muchos desarrolladores honestos emplean estas técnicas para proteger su código, pero ahora tendrán que buscar una alternativa que cumpla con la nueva regla.
Hackean extensión de MEGA en Chrome para obtener contraseñas de los usuarios
¿Qué sucederá con las extensiones que actualmente tienen código ofuscado? Google les ha dado un plazo de 90 días para que realicen los cambios necesarios, de lo contrario su extensión será eliminada de la Web Store. Si el desarrollador quiere reducir el tamaño de sus archivos (minificación) sólo podrá hacerlo eliminado espacios en blanco, comentarios y delimitadores de bloque.
Cambios en las políticas y API en 2019
Los de Mountain View anticipan que el próximo año cambiarán las políticas de sus extensiones para "garantizar la seguridad, privacidad y rendimiento". A pesar de que lo anterior podría sugerir la implementación de reglas muy estrictas, Google anticipa que las aplicaciones bien desarrolladas podrán cumplir "fácilmente" con la nueva normativa. Se espera que las API también cambien en 2019 para ser más restringidas.