Die Sicherheit seines Browsers hat Google ziemlich gut im Griff: In den letzten Jahren kam es nicht zuletzt dank raschen und automatischen Updates zu keinen nennenswerten Angriffen gegen Chrome selbst. Ein Bereich bereitet dem Unternehmen aber seit geraumer Zeit Kopfzerbrechen: Über Erweiterungen haben es Angreifer immer wieder geschafft, Zugriff auf sensible Daten zu bekommen. Dem will das Unternehmen nun einen Riegel vorschieben.

Update

In einem Blogposting kündigt Google eine Reihe von verschärften Sicherheitsmaßnahmen für Browser Extensions an. Aus Usersicht wohl die wichtigste: Mit der nächsten Version, Chrome 70, können die Nutzer Erweiterungen gezielt auf eine Liste einzelner Seiten beschränken. Alternativ ist es auch möglich, den Browser so einzustellen, dass Extensions erst nach einem zusätzlichen Klick auf einer Seite aktiviert werden.

Bisher war es so, dass eine Erweiterung, die etwa das Aussehen einer einzelnen Webpage verändern wollte, theoretisch Zugriff auf alle Webinhalte gehabt hätte. Genau in solchen Fällen greift das neue System nun also. Bei anderen Diensten wie Tracker Blockern wird sich hingegen wenig ändern, immerhin ist es hier ja von den Nutzern gewünscht, dass diese global laufen.

Neuerungen für Entwickler

Parallel dazu gibt es aber auch neue Regeln für Entwickler: So dehnt Google seine Vorabprüfungen von eingereichten Erweiterungen deutlich aus. Konkret bedeutet dies, dass künftig bei jeder Extension, die mächtige Berechtigungen einfordert, ausführliche Tests vorgenommen werden. Diese Regel gilt auch für alle Erweiterungen, die Code von außen einbinden.

Darüber hinaus wird künftig die Unkenntlichmachung von Codestellen generell untersagt. Die Analyse zeige, dass sich 70 Prozent aller bösartigen Erweiterungen solcher Methoden bedienen. Diese Regel gilt ab sofort für neue Erweiterungen, bestehende dürfen hingegen noch 90 Tage lang Updates ausliefern. Anfang Jänner wird dann aber durchgegriffen: Zu diesem Zeitpunkt werden alle Extensions, die noch immer "Obfuscated Code" enthalten aus dem Chrome Web Store geworfen.

Eine weitere neue Regel: Erweiterungsentwickler müssen auf ihren Google-Accounts allesamt Zwei-Faktor-Authentifizierung aktivieren. Dies soll Hacker-Angriffe gegen Entwicklerkonten verunmöglichen, in deren Folge in der Vergangenheit immer wieder Schadcode eingeschleust wurde. (apo, 2.10.2018)