Google укрепляет безопасность расширений в Chrome

На конференции Google I/O 2012, прошедшей в Сан-Франциско, лидер команды разработчиков браузера Chrome Сундар Пичаи заявил, что количество пользователей браузера достигло 310 млн., увеличившись в два раза по сравнению с 2011 годом. Столь большая аудитория стала лакомым кусочком для злоумышленников, начавших использовать уязвимости браузера и архитектурные недостаки программы. Инженеры Google занялись исправлением проблемных участков.

Увеличить рисунок

Для Google безопасность браузера является ключевым направлением разработки. Каждый новый выпуск программы сопровождается отчётом о закрытии большого количества уязвимостей, обнаруженных как работниками Google, так и участниками открытого проекта Chromium, получающими крупные вознаграждения (до $20 тыс.). Но некоторые направления, такие как работа с расширениями, требует непосредственного вмешательства не только в код браузера, но и в работу магазина приложений Chrome Web Store.

Разработчики предприняли два основных шага в направлении повышения безопасности приложений и расширений. Первый шаг заключается в том, что начиная с Google Chrome 21 накладываются серьёзные ограничения на пользовательских сценариев (Greasemonkey), расширений и приложений, расположенных не в Chrome Web Store. Установка по клику становится недоступна, а пользователю придётся проводить дополнительные манипуляции по открытию служебных страниц и перетаскиванию необходимых расширений.

Вторым шагом является запуск утилит глубокого анализа загружаемых в Web Store элементов. Ранее разработчик мог загрузить любое расширение, в том числе с шпионскими элементами, избежав проверок. Для борьбы со злоумышленниками Google сначала ввела обязательный взнос для разработчиков, а затем проверку расширений с NPAPI-модулями (устанавливающими, например, dll-библиотеки, которые выполняются вне песочницы). Теперь проверке будут подвергаться вообще все расширения.

Менее значительным шагом является то, что расширения, написанные без соответствия современным положениям рекомендаций Google, к 2013 году будут удалены из Chrome Web Store и не смогут быть установлены никаким образом.

Подобные шаги являются необходимыми, учитывая огромное количество пользователей, и проявление большого количества уязвимостей, обходящих как изоляцию процессов, так и работу защитных механизмов системы (DEP, ASLR и другие в Microsoft Windows). На данный момент работа расширений доступна для пользователей браузера на операционных системах Windows, OS X и GNU/Linux. Для пользователей браузера на iOS и Android поддержка расширений пока не реализована и не планируется.