جوجل تتخذ خطوات جديدة لمنع إضافات كروم الضارة
أعلنت شركة جوجل عن خطط لتقييد إضافات متصفحها للويب كروم Chrome في محاولة منها لتضييق الخناق على الإضافات الضارة الموجودة في سوق كروم الإلكتروني، بالإضافة إلى اتخاذها المزيد من الإجراءات لتحسين خصوصية المستخدم ومنحه مزيدًا من التحكم، حيث ظهرت خلال هذا العام العديد من الإضافات الضارة التي تحاول سرقة بيانات الاعتماد والمشاركة في عمليات الاحتيال، إذ تستفيد الإضافات الضارة من الوصول الكبير إلى صفحات الويب التي تمتلكها الإضافات.
وأصبحت إضافات المتصفح جزءًا أساسيًا من تجربة التصفح، حيث يستخدم العديد من الأشخاص الإضافات لتحسين أمانهم وحماية خصوصيتهم وتمكين الميزات التي لم يضيفها صانعو المتصفح، إلا أن شعبية إضافات المتصفح جعلتها هدفًا رئيسيًا للهاكرز.
واتخذت جوجل سابقًا بعض الخطوات للحد من الإضافات الضارة، إذ قامت في العام الماضي بتطبيق وضع حماية وتصميم متعدد العمليات أكثر صرامة على الإضافات للحد من تأثير الثغرات الأمنية في المتصفح.
كما أوقفت الشركة في وقت سابق من هذا العام إمكانية توفير الإضافات لعمليات التثبيت من مواقع الويب التابعة لجهات خارجية، أو ما يعرف باسم عملية التثبيت المضمن، وحصرت جميع عمليات التثبيت من خلال متجر كروم الإلكتروني.
وتقتضي التدابير الجديدة منح مستخدمي الإضافات تحكمًا أكبر في أي المواقع يمكن لتلك الإضافات الوصول إليها، إذ تعتبر واحدة من أقوى أذونات الإضافات هي القدرة على قراءة وكتابة البيانات على أي موقع.
وسوف يتمكن مستخدمو الإضافات في نسخة كروم Chrome 70، المفترض وصولها في وقت لاحق من هذا الشهر، من تقييد الوصول إلى نطاقات محددة أو حظر الوصول إلى أي موقع إلى أن يتم تنشيط الإضافة بشكل صريح.
ولا يمنع هذا التغيير الإضافات الضارة بشكل كامل، ولكن لديه القدرة على الحد بشكل كبير من الضرر الذي يمكن أن تفعله تلك الإضافات ووصولها إلى بيانات المستخدمين وحماية تلك البيانات وتوفير خصوصية محسنة.
بينما تتعلق الخطوات الأخرى بعملية تطوير الإضافات، وتقول شركة جوجل إنها ستطبق المزيد من التدقيق على الإضافات التي تتطلب أقوى الأذونات، وستجري مراقبة مستمرة للإضافات التي تحمل التعليمات البرمجية من المواقع البعيدة.
ويفترض أن تساعد هذه الخطوة في الحماية من الإضافات التي تستخدم في البداية تعليمات برمجية خارجية غير ضارة أثناء إضافتها لأول مرة ضمن المتجر، ولكن يتم في وقت لاحق استبدال التعليمات البرمجية بتعليمات برمجية ضارة بمجرد نشر الإضافة ضمن المتجر.
وتحظر جوجل أيضًا الإضافات التي تستخدم تعليمات برمجية غامضة، بحيث يتم حذف أي إضافة تحتوي على تعليمات برمجية ذات مساحة بيضاء غريبة وأسماء متغيرات طويلة، على أن تواصل سماحها للإضافات ذات التعليمات البرمجية المبسطة.
ويعود ذلك إلى أن عملية مراجعة التعليمات البرمجية المبسطة سهلة بشكل عام، بينما يمكن التلاعب بطريقة تخفي وظائف ومهام الإضافات التي تتضمن بشكل صريح تعليمات برمجية غريبة يصعب قراءتها.
وتتجه جوجل خلال الـ 90 يومًا القادمة إلى حظر التعليمات البرمجية المبهمة للإضافات الحالية، وتقول الشركة إن حوالي 70 في المئة من الإضافات الضارة والمخالفة للسياسة تستخدم تعليمات برمجية مبهمة، ويفترض أن تؤدي عملية المنع إلى تبسيط عملية مراجعة الإضافة، لأنها ستجعل مسألة فهم تعليمات جافا سكريبت البرمجية المشغلة للإضافة أسهل للفهم.
ويتعين على مطوري الإضافات أن يفعلوا المزيد لحماية حسابات المطورين الخاصة بهم، حيث تجبر الشركة مطوري الإضافات على تفعيل المصادقة الثنائية لحساباتهم ابتداءً من عام 2019.
ويتمثل مصدر القلق هنا في أنه إذا تعرض أحد مطوري الإضافات للاختراق، فقد يتم التلاعب بالتعليمات البرمجية للإضافة التي طورها وتحويلها إلى إضافة ضارة، بينما تصعب المصادقة الثنائية من مسألة اختراق الحسابات.
وتخطط جوجل خلال العام المقبل لتقديم بيان إضافة جديد، وهو جزء من ملحق يعدد محتويات الإضافة والأذونات التي تتطلبها، مما يمنح المستخدمين سيطرة أكبر على الأذونات التي يمنحونها للإضافات وتضيق مساحة الطلبات على مطوري الإضافات وتقيد بشكل أكبر الأذونات.
