Google ประกาศอัปเดตด้านความปลอดภัย 5 เรื่องใน Extension ของ Chrome

ในช่วงที่ผ่านมา Google ได้ตระหนักถึงความปลอดภัยจากส่วนขยาย (Extension) ที่เป็นอันตราย ซึ่งเมื่อต้นปีที่ผ่านมาทาง Google ได้ห้ามใช้ Extension ที่มีสคริปต์เพื่อใช้ในการขุด cryptocurrency รวมไปถึงได้ปิดการใช้งาน Extension ของ Chrome แบบ inline เรียบร้อยแล้ว นอกจากนี้ Google ยังนำเทคโนโลยี machine learning มาใช้เพื่อตรวจหาและป้องกัน Extension ที่เป็นอันตรายอีกด้วย

เมื่อวันจันทร์ที่ผ่านมาทาง Google ได้ออกมาประกาศเกี่ยวกับการเปลี่ยนแปลงที่เกิดขึ้น โดยจะนำมารวมไว้ใน Chrome70 ซึ่งคาดว่าจะออกมาปลายเดือนนี้ สำหรับการเปลี่ยนแปลงในครั้งนี้มีอยู่ 5 เรื่องด้วยกัน ได้แก่

1. สิทธิ์การอนุญาตโฮสต์ใหม่ใน Extension ของ Chrome

ในตอนนี้ถ้าหาก Extension มีการถามเพื่อทำการเขียน อ่าน หรือเปลี่ยนแปลงข้อมูลในเว็บ จะไม่มีตัวเลือกให้ผู้ใช้สามารถเลือกได้ว่าจะให้เว็บนั้นเป็น blacklist หรือ white list ได้ แต่ถ้าหากเป็น Chrome70 ผู้ใช้สามารถควบคุม Extension ของ Chrome ได้ ว่าจะจำกัดการเข้าถึงข้อมูลของเว็บได้

ที่มาภาพ: The Hacker News

จากภาพจะเป็นหน้าจอ Chrome70 เมื่อคลิกขวาบน Extension จะแสดงเมนูเพื่อให้ผู้ใช้สามารถตัดสินใจเลือกได้ว่าจะให้สิทธิ์การเข้าถึงเว็บแบบใด โดยเลือกที่ “can read and change site data.” (สามารถอ่านและเปลี่ยนแปลงข้อมูลเว็บ) ซึ่งมีตัวเลือกให้เลือก 3 ตัวเลือกคือ “When you click the extension,” “on the current website” หรือ “On all sites.”

2. Google แบนโค้ดที่ทำให้สับสนใน Extension ของ Chrome

เพื่อเป็นการป้องกันมัลแวร์ที่ประกอบด้วยโค้ดที่สร้างความสับสนให้แก่เครื่องสแกนของ Chrome ในการตรวจหา หรือวิเคราะห์โค้ดที่เป็นอันตรายจากส่วนเสริมนั้น ใน Chrome70 จะมีตัวตรวจจับ Extension ที่มีโค้ดสร้างความสับสนหรือยุ่งยาก ดังนั้น Extension ใน Chrome web store จะต้องไม่มีโค้ดที่สร้างความสับสนให้กับตัวสแกนของ Google ผู้พัฒนามีเวลา 90 วัน เพื่อปรับหรือแก้ไข Extension ที่มีโค้ดที่สร้างความสับสนเหล่านั้นเสีย

3. ผู้พัฒนาจะต้องมีระบบล็อกอินสองชั้น (2-Step Verification)

จากการที่ Google พบการโจมตีแบบฟิชชิ่งเพื่อเจาะ Extension เพื่อให้อัปเดต Extension จากนั้นก็ติดตั้งโค้ดที่เป็นอันตรายทำให้มีผู้โดนโจมตีไปประมาณกว่า 10 ล้านรายเมื่อประมาณปีที่แล้ว ดังนั้นเพื่อเป็นการป้องกันทาง Google จึงกำหนดให้ผู้พัฒนาต้องมีระบบล็อกอินสองชั้น

4. กระบวนการตรวจสอบ Extension ใหม่ จะต้องมีการตรวจสอบที่เข้มงวดขึ้น ใน Chrome70

Google จะมีการตรวจสอบ Extension ซึ่งจะต้องมีการถามถึง “powerful permissions.” (สิทธิ์การเข้าถึงที่เข้มงวด) นอกจากนี้ยังมีการตรวจสอบ Extension จากระยะไกล เพื่อตรวจการเปลี่ยนแปลงในจุดที่เป็นอันตรายอย่างรวดเร็วด้วย

5. Manifest Version 3 ใหม่ใน Extension ของ Chrome

แพลตฟอร์ม Manifest Version 3 จะเป็นตัวช่วยรับประกันในด้านการรักษาความปลอดภัยที่เข้มงวดมากขึ้น ประสิทธิภาพ และความเป็นส่วนตัวด้วย ทาง Google จะนำ Manifest Version 3 มาใช้ประมาณปี 2019 ซึ่งจะจำกัดขอบเขตของ API ในสิทธิ์การควบคุมกลไกของผู้ใช้ให้ง่ายขึ้น และสนับสนุนความสามารถใหม่ของเว็บ เช่น Service Worker (เป็น JavaScript ทำงานบนเว็บเบราเซอร์ ซึ่งจะทำงานอยู่เบื้องหลังแยกออกจากตัวเว็บ)

จากการเปลี่ยนแปลงทั้ง 5 ทาง Google เชื่อว่า Extension ที่มีอยู่ประมาณกว่า 180,000 Extension ใน Chrome Web Store จะช่วยให้ผู้ใช้งาน Chrome มีความปลอดภัยมากขึ้น

ที่มา: The Hacker News