Google запретит приложения с обфусцированым кодом в Chrome Web Store

Google запретит приложения с обфусцированым кодом в Chrome Web Store

Порядка 70% расширений для Chrome, блокируемых Google, содержат обфусцированный код.

Компания Google обновила политику Chrome Web Store, добавив пять новых правил, призванных предотвратить размещение в интернет-каталоге вредоносных приложений, а также обеспечить защиту пользователей.

В частности, отныне Chrome Web Store не будет принимать приложения с обфусцированным (запутанным) кодом. По данным компании, порядка 70% расширений для Chrome, блокируемых Google, содержат обфусцированный код. Обфускация кода влияет на производительность и не имеет никаких преимуществ, считают в Google. В этой связи компания решила полностью запретить подобные приложения. Техногигант предоставил разработчикам срок до 1 января 2019 года для приведения расширений в соответствие новым требованиям и удаления обфусцированного кода.

Компания также намерена добавить в Chrome Web Store дополнительную процедуру проверки новых расширений, требующих широкого ряда разрешений в браузере, а также приложений, чей код хранится на удаленных системах. То есть, согласно новому требованию, расширение должно запрашивать только необходимые для работы разрешения, а его код должен быть включен непосредственно в пакет.

Третье изменение относится к новой функции в Chrome 70, запланированного к выпуску в текущем месяце. С релизом Chrome 70 пользователи получат возможность ограничивать расширения определенными сайтами, что позволит предотвратить исполнение вредоносных расширений на конфиденциальных страницах (интернет-банкинг, криптовалютные кошельки, почтовые ящики и пр.). Кроме того, расширения смогут исполняться только в том случае, если пользователь выберет соответствующую опцию в меню Chrome.

Начиная с 2019 года, разработчики должны будут использовать механизмы двухфакторной аутентификации Google. Данная мера направлена на предотвращение случаев перехвата учетных записей разработчиков и внедрения вредоносного кода в официальные приложения.

Наконец, пятое требование касается новой версии руководства по созданию манифестов для файлов .json, в которых содержатся инструкции по взаимодействию расширений с Chrome. Новый вариант руководства будет представлен только в 2019 году, однако Google полагает, что разработчики должны быть подготовлены заблаговременно. В основном изменения в Manifest v3 связаны с новыми функциями в Chrome 70, в частности, механизмами, позволяющими пользователям контролировать разрешения расширений.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!