Google Chrome nunca ha prestado mucha atención a la seguridad de su tienda de extensiones: podemos encontrar extensiones malignas a pares, lo cual no es nada seguro para el ecosistema de Google (ocurre un poco igual que con las apps para Android). Es cierto que si se detecta alguna extensión que roba datos, por ejemplo, debe ser retirada, pero esto tiene que ser de forma muy flagrante debido a que los hackers consiguen ocultar código maligno ofuscándolo.
Pero eso ahora es diferente: una nueva actualización de Google Chrome está solucionando precisamente eso. No presentarán más atención a analizar el código de las extensiones (que también), sino que directamente está haciendo dos cosas: bloquear aquellas extensiones que solicitan el acceso una gran lista de permisos sin justificación aparente.
Google Chrome pone el foco en acabar con las extensiones malignas
Aparte de esto, también se hará mucho más hincapié en el código alojado externamente, revisándolo de forma continua (para que no cambie o, si lo hace, esté revisado). Es decir, que el código alojado remotamente estará en monitoreo y un estricto análisis continuo. Con respecto al código ofuscado, Chrome ha decidido prohibirlo; esta nueva norma es aplicable tanto al código de la propia extensión como al código externo.
Eliminar Las extensiones con código ofuscado es muy importante precisamente porque el 70% de las malignas ofusca su código
Google advierte que las extensiones que actualmente estén funcionando bajo código ofuscado seguirán funcionando durante los próximos 90 días, pero que para entonces, si no se han actualizado bajo las nuevas normas, desaparecerán de la tienda de extensiones.
Pero ya no solo se está prohibiendo ofuscar código porque el 70% de las extensiones malignas lo hacen, sino porque ahora revisarlas será más sencillo y gastará menos recursos. En realidad, y como Google explica, como Javascript se ejecuta en el navegador del usuario, ofuscar el código no sirve para nada de cara a alguien que quiera hacer ingeniería inversa.
Por otro lado, se incluyen nuevas medidas de cara a proteger la cuenta de los desarrolladores: por ejemplo, se incluirá el inicio de sesión en dos pasos de manera predeterminada. De este modo, se evitará que, cuando una extensión se vuelva famosa, los hackers traten de acceder a la cuenta tras ella, cambiar el código, e infectar el ordenador de las millones de personas que lo han instalado.