As extensões do navegador Chrome, que permitem adicionar funcionalidades ao programa, vão sofrer mudanças. Usuários do navegador poderão autorizar as extensões a acessar uma única aba ou página (e não todos os sites abertos, como é hoje). Os programadores de extensões também serão obrigados a protegerem suas contas Google e a não utilizarem códigos "secretos" nas extensões.

O Chrome, apesar de ser um navegador de internet bastante seguro, já teve muitos problemas em suas extensões. Os problemas vêm ocorrendo sob a vigilância do Google, já que o Chrome só permite a instalação de extensões cadastradas na Chrome Web Store, que é gerenciada pela empresa.

Em janeiro, uma extensão falsa chegou a obter 500 mil downloads, provavelmente para realizar fraude publicitária. No início de setembro, hackers invadiram a conta Google do site de armazenamento em nuvem Mega e trocaram a extensão oficial do site. Graças ao recurso de atualização automática, diversos usuários receberam a extensão falsa, que era capaz de roubar senhas.

Para coibir casos como esses, o Google vai adotar duas medidas. Uma é a proibição de código ofuscado. As extensões do Chrome, por causa da maneira que elas funcionam, sempre expõem seu código-fonte ao mundo. Para esconder esse código, alguns programadores adotam técnicas que deixam o código difícil de compreender ou que não deixam óbvio a lógica da extensão para um humano.

1 de 2 Erros no repositório oficial de extensões para o navegador do Google, a Chrome Web Store, permitiram que golpistas cadastrassem extensões maliciosas e obtivessem milhares de downloads — Foto: Reprodução Erros no repositório oficial de extensões para o navegador do Google, a Chrome Web Store, permitiram que golpistas cadastrassem extensões maliciosas e obtivessem milhares de downloads — Foto: Reprodução

Em extensões maliciosas, o código ofuscado esconde o comportamento prejudicial da extensão. De acordo com o Google, 70% das extensões removidas tentam dificultar a leitura do código.

Com a proibição, extensões que adotarem esse truque não poderão ser cadastradas na Chrome Web Store, independentemente do seu funcionamento. Os criadores de extensões que já estão cadastradas têm até janeiro para se adequar.

A outra medida adotada pelo Google diz respeito à segurança dos próprios programadores. A partir de 2019, todas as contas de desenvolvedores terão de usar a autenticação em duas etapas (o que exige digitar uma senha adicional gerada em um aplicativo ou recebida no celular). Essa medida visa evitar casos como o do Mega. O Google vem alertando os programadores de extensões sobre ataques desde agosto de 2017.

Sistema de permissão deve ser melhorado

Para os usuários, o Google pretende melhorar o sistema de permissão das extensões. Hoje, boa parte das extensões exige que o usuário conceda acesso total na instalação. Com isso, todo o conteúdo de todos os sites navegados fica visível para a extensão.

Quando a extensão é maliciosa, isso significa que ela pode acessar todas as senhas digitadas no navegador, por exemplo. Ela também pode interagir livremente com os sites abertos, como sites de bancos e redes sociais.

A partir da versão 70 do Chrome, os usuários poderão restringir o acesso de uma extensão a um único site ou a um grupo de sites, o que vai reduzir o impacto de problemas de segurança.

No futuro, o Google pretende criar uma lista detalhada de permissões, de forma semelhante ao que existe no Android.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com