Google окончательно запретила устанавливать сторонние расширения в браузер Chrome

Google запретила так называемую inline-установку расширений для веб-браузера Chrome из сторонних источников. Запрет пока распространяется лишь на новые дополнения, но к началу осени 2018 г. корпорация распространит действие новых правил и на все остальные дополнения.

Chrome Web Store стал единственным источником дополнений

Google внесла правки в правила пользования интернет-магазином браузера Chrome, в соответствии с которыми пользователи браузера больше не смогут устанавливать расширения и приложения из посторонних источников. Компания объясняет необходимость подобных изменений заботой о безопасности пользователей.

Ранее разработчики имели возможность с помощью специальных инструкций поместить на свой сайт кнопку, по нажатию на которую появлялось всплывающее окно с предложением установить расширение без перехода в официальный магазин браузера. Данная возможность, названная «inline-установкой» (Inline Installation), появилась в Chrome версии 15 в 2011 г.

С 12 июня 2018 г. запрещена Inline-установка новых расширений. Отныне пользователи при попытке установить что-либо подобным способом будут автоматически перенаправляться на страницу официального магазина Chrome. К 12 сентября 2018 г. и выходу Chrome версии 71 планируется отключить эту возможность для всех расширений.

Какое отношение это имеет к безопасности?

Возможность внедрения установщика на собственный сайт была предусмотрена для удобства продвижения расширений. Ведь для того, чтобы обнаружить недавно опубликованный продукт, рядовому пользователю пришлось бы перейти в официальный магазин и перебрать огромную массу различных вариантов, прежде чем он наткнулся бы на то, что ему действительно необходимо.

Inline-установка позволяла разработчику проработать и воплотить в жизнь стратегию продвижения нового продукта самостоятельно, а конечному пользователю – начать применять этот продукт при помощи нажатия на единственную кнопку.

В то же самое время, разработчики вредоносного ПО никогда не сидят без дела и постоянно придумывают новые способы обмана доверчивых пользователей. Так, на протяжении последних нескольких лет мошенниками активно использовалась техника создания поддельных сайтов или рекламных объявлений, вводящих пользователя в заблуждение и заставляющих перейти по ссылке для установки сомнительного дополнения.

Например, на веб-странице, имитирующей онлайн-кинотеатр, могло появиться уведомление о том, что текущая версия Flash-плеера пользователя устарела, и ее необходимо срочно обновить, если пользователь хочет посмотреть фильм. Ссылка, разумеется, вела вовсе не на дистрибутив новой версии Flash-плеера, а на расширение, опубликованное злоумышленником.

phishing300x250.png

Мошенническое сообщение о якобы устаревшей версии Flash Player

Несмотря на то, что 3 сентября 2015 г. Google начала бороться с дополнениями, использующими тактику обмана в продвижении, запретив их inline-установку, масштаб проблемы оказался столь серьезным, что корпорация была вынуждена прибегнуть к радикальным мерам и запретить их установку окончательно.

«Пытаясь решить данную проблему, мы выяснили, что вероятность последующего удаления дополнения или возникновения у пользователя жалоб относительно него значительно ниже при установке дополнения из официального магазина Chrome», – отметил Джеймс Вагнер (James Wagner), менеджер по продукту платформы расширений Chrome.

Чем именно занимались нежелательные расширения?

Распространяемые подобным образом расширения вовсе необязательно носили вредоносный характер. Некоторые из них могли быть даже полезны, несмотря на выбор их автором вирусной стратегии продвижения.

Другие же представляли серьезную опасность. К примеру, дополнение могло получить разрешение следить за буфером обмена операционной системы и передавать попадающую туда информацию злоумышленнику. В буфере обмена нередко оказываются и чувствительные данные, такие как различные пароли, ПИН-коды банковских карт и др. Попадание таких сведений в руки мошенников могло закономерно повлечь утрату как денежных средств пользователя, так и контроля над учетными записями используемых им веб-сервисов.

С резким ростом популярности криптовалют во второй половине 2017 г. столь же резко возросло и количество атак с внедрением программного обеспечения для скрытой добычи (майнинга) криптовалют. Одним из способов доставки ПО для скрытого майнинга стали браузерные дополнения. К счастью, в апреле 2018 г. Google утвердила новые правила модерации магазина Chrome и начала удалять любые дополнения со встроенными майнерами, даже теми, авторы которых присутствия майнеров не скрывают.