Googleは、クロムの拡張機能開発者へ、より厳しいルールを導入しており、
この動きは、仮想通貨ハッキングやマニングマルウェアのリスクの
減少に役立つものとなるでしょう。
Googleは、クロムが取扱う一連の拡張機能の変更を予定しており、
それはより広範な許可が求められ、
そして開発者がクロムウェブストアを介して配布する拡張機能のルール厳格化を行います。
Googleは、記事中で次のように残しています。
ユーザーが安心してインストールする拡張機能は、
安全で、個人情報の漏洩がなく、高性能であることが大前提です。
ユーザーは常に自分が利用する拡張機能の範囲と、
性能と全体のデータに透明性を持つべきです。
クロム70では(現在ベータ版)では、ユーザーは、
サイト上にある拡張機能を制限でき、もしくは、
ページごとに必要になった拡張機能をその都度許可できると同社は説明しています。
さらにGoogleは、拡張機能に「強力な許可」を求め、
それは追加のコンプライアンスレビューの支配下にあると付け加えています。
「私達はより近くで、進行中のモニターのリモート書かれたコードで
監視を行っています。」
この動きに対してGoogleは、次のようにコメントしています。
「ホストの許可が何千もの強靭で創造的なユースケースを可能にする一方で、悪意の有り無し関係なく、
それは広範な悪用をもたらします。我々の目的にはユーザーに透明性を提供し、拡張機能のサイトアクセスを
コントロールすることにあります。」
Googleはさらに、クロムウェブサイトはもはや
隠しコードや、もしくは不明瞭なコードを許可しないとしています。
既存の拡張機能で不明確なコードは、90日間、
新しいルールに適合するとしています。
記事によると、70%以上の不明瞭なコードを含む
「悪意的でポリシー違反の拡張機能」がブロックされたとされています。
その上、不明確さは、本来性能上隠すために使われるものなので、
それは大幅にGoogleの拡張機能の評価を複雑化させます。
「前述の評価プロセスはもはや許容できないものとなるでしょう」と
Googleは述べています。
そして2019年の最終セキュリティ対策では、
すべての開発者のアカウントは、ハッキングによるアカウント乗っ取りを
防ぐために、2段階認証によって保護されるようになります。
過去には、クロムの拡張機能は、犠牲者の機械にアクセスできる
サイバー犯罪に利用されました。
例えば、1ヶ月前には、ハッカーは悪意的で巨大な拡張機能を
ウェブサイトにアップロードしました。
ZDNetによると、公式なインストローラーを利用したユーザーの情報は
数時間で漏洩してしまい、そこにはMyEtherWalletや
MyMonero暗号通貨ウォレット、そして分散取引所の、
IDEXの情報も、そこには含まれていました。
またGoolgeはユーザーが知らない間にインストールした
仮想通貨マイニングの取締にも焦点を当てています。
4月には、ウェブストアは仮想通貨マイニング拡張機能を、
意図的かどうかを関係なく禁止していました。
引用元:Google Moves to Protect Chrome Users From Cryptojacking and Hacks
