Google mejora la seguridad de las extensiones de Chrome

Las extensiones o complementos en los navegadores son una fuente preferente para instalación de malware. Se cuentan por miles y son tremendamente populares, de ahí que los ciberdelincuentes hayan encontrado un buen método para distribuirlo.

Google ha intentado seguras las extensiones de Chrome y hace poco deshabilitó las instalaciones en línea para las extensiones existentes, lo que significa que si tienes extensiones instaladas en Chrome desde sitios web de terceros, te redirigirá automáticamente a la Chrome Web Store para completar la instalación.

El próximo diciembre, Google retirará la API de instalaciones en línea. La primera versión sin ella será Chrome 71. La compañía aconseja a los desarrolladores de extensiones que redirijan a los usuarios a la tienda oficial Chrome Web Store. Los que no lo hagan no tendrán más remedio que retirarlas. Google dice que esto beneficiará a los usuarios en el futuro “haciendo de Chrome un lugar más seguro para tus necesidades de navegación”.

Hace unos meses también anunció el bloqueo de extensiones de Chrome instaladas desde sitios de terceros, permitiendo únicamente las instaladas desde la tienda oficial.

Cambios en las extensiones de Chrome

Esta misma semana, Google ha anunciado cambios importantes para mejorar la seguridad y experiencia de estos complementos, muy útiles para ampliar las funcionalidades del navegador, pero fuente preferente de distribución de malware:

• Controles de usuario para permisos de host. A partir de Chrome 70, los usuarios tendrán la opción de restringir el acceso de host de extensiones en una lista personalizada de sitios o configurarlas para requerir un clic para obtener acceso a la página web. 
• Cambios en el proceso de revisión de extensiones. En el futuro, las extensiones que soliciten permisos avanzados estarán sujetas a una revisión de cumplimiento adicional. Google también analizará detenidamente las extensiones que usan código alojado remotamente, con monitoreo continuo.
• Nuevos requisitos de legibilidad del código. A partir de hoy, Chrome Web Store ya no permitirá extensiones con código ofuscado. Esto incluye el código dentro del paquete de extensión, así como cualquier código externo o recurso extraído de la web. Esta política se aplica inmediatamente a todas las nuevas presentaciones para la aprobación de extensiones.
• Verificación en dos pasos. En 2019, se requerirá la verificación en dos pasos para las cuentas de desarrollador de Chrome Web Store.
• Manifest v3. Google presentará en 2019 la próxima versión de este regulador para extensiones, que implicará cambios adicionales para crear mayores garantías de seguridad, privacidad y rendimiento.