Las extensiones son
pequeñas aplicaciones que se instalan en los navegadores y que permiten
implementarnos funciones que, por defecto, no vienen incluidas. Sin embargo, estas extensiones
también han permitido a los piratas informáticos tomar el control de los navegadores
de los usuarios mediante extensiones maliciosas, uno de los mayores problemas
que persigue a Google Chrome, y otros navegadores, y que, por suerte, podría
tener los días contados.
Los piratas
informáticos utilizan todo tipo de técnicas para distribuir extensiones
maliciosas y complicar su detección, técnicas como, por ejemplo, ofuscar el
código, utilizar scripts externos, falsificar puntuaciones en las tiendas de
extensiones, etc. Esto permite muchas veces a las extensiones inyectar
anuncios, robar información de las redes sociales, minar criptomonedas, robar
logins y llevar a cabo otras muchas técnicas maliciosas para poner en peligro a
los usuarios.
Hace algunas horas,
Google ha anunciado una serie de nuevas medidas de seguridad que aplicará a todo
lo relacionado con las extensiones del navegador con las que, finalmente,
acabará con las extensiones maliciosas. Estas medidas de seguridad empiezan por
prohibir las extensiones que pidan una gran cantidad de permisos sin razón
alguna, además de no tolerar aquellas que carguen scripts externos o tengan el
código ofuscado.
Con Google Chrome 70 podremos controlar qué
puede y qué no puede hacer una extensión
Además de las
limitaciones anteriores, a partir de la próxima actualización de Google Chrome
el navegador va a habilitar una nueva opción que nos va a permitir configurar,
individualmente, qué puede y qué no puede hacer cada extensión.
Así, cuando pulsemos
con el botón derecho sobre una extensión, Google Chrome 70 nos mostrará una
nueva opción llamada “Puede leer y cambiar datos de sitios web” que nos
permitirá controlar el comportamiento de las páginas web.
De esta manera,
podemos elegir si queremos que una extensión tenga control sobre los datos de
cualquier página web, solo sobre la página actual o que solo pueda hacerlo
cuando pulsemos sobre ella.
Eso sí, por defecto
las extensiones seguirán teniendo permiso para actuar en todas las webs, por lo
que dependerá de nosotros mismos configurar los permisos que cada extensión
puede tener en nuestro navegador.
Mayor seguridad para los desarrolladores para
evitar el secuestro de extensiones
En ocasiones hemos
podido ver cómo una extensión fiable, de repente pasaba a ocultar código
malicioso. Aunque siempre hay desarrolladores que se cambian de bando al cabo de
un tiempo, la mayoría de las veces que ha ocurrido esto ha sido porque los
piratas informáticos han conseguido robar la cuenta de los desarrolladores,
tomando el control sobre las extensiones.
Junto a las medidas
de seguridad anteriores, Google ha anunciado que también va a obligar a los
desarrolladores a activar la doble autenticación en sus cuentas, evitando que,
aunque consigan hacerse con la contraseña de uno de estos desarrolladores,
puedan conseguir acceder a la cuenta y secuestrar las extensiones.
Fuente: Chromium