隨著惡意軟體現在還會有先偽裝再更新成對資安有疑慮的狡猾入侵方式被揭露。近日 Google 則是宣佈將所謂的「安全檢查(Safety Check)」功能更全面地帶到了 Chrome 的擴充功能體系之中。將可更進一步阻止類似的漏洞被利用。繼續閱讀 Google 對有資安疑慮的 Chrome 擴充功能下重手,將提醒移除並對不安全連線下載敏感檔案發出警示報導內文。
▲圖片來源:Google
Google 對有資安疑慮的 Chrome 擴充功能下重手,將提醒移除並對不安全連線下載敏感檔案發出警示
雖然像是 Chrome 等瀏覽器所提供的擴充功能(Extensions)的確擁有十分多樣的功能與便利性。不過此一同時,也會有被惡意利用的可能性存在 – 實際上早就有被拿去挖礦、騙財與竊取隱私等案例存在。
▲圖片來源:Google
對此,其實 Google 也早早就提供了主動提醒不安全的擴充功能與檔案下載的阻擋機制,只是隨著惡意軟體現在還會有先偽裝再更新成對資安有疑慮的狡猾入侵方式被揭露。近日 Google 則是宣佈將所謂的「安全檢查(Safety Check)」功能更全面地帶到了 Chrome 的擴充功能體系之中。將可更進一步阻止類似的漏洞被利用。
針對最新的 Chrome 117,Google 將開始針對 Chrome 線上應用程式商店(Chrome Web Store)所安裝的擴充功能,在以下三個條件發生時主動提醒使用者是否要解除安裝:
· 擴展功能已被開發者下架
· 擴充功能因違反 Chrome Web Store 政策而被下架。
· 該項目被標記為惡意軟件。
簡單的講,以往雖然 Chrome 針對擴充功能本來就有阻止下載有資安疑慮的機制存在。然而對應已經在眾多使用者的瀏覽器上安裝的 Chrome 擴充功能,卻可能會因為沒注意到其已經不再符合後續的 Google 安全檢查標準或其他原因造成 – 即使是開發者自行下架,可能也可以確認一下是不是有新的擴充功能或是真的哪裡有問題囉。
這項功能,將可在 Chrome 的隱私與安全選項中看到相關的提示。就官方的示範,是你會先看到經過安全檢查對照後發現已經被下架的擴充功能數量。並提示可以移駕至專門頁面來檢視下架的原因 – 如果是後兩個原因,就建議真的可以立即解除安裝(除非好用到願意冒著隱私或資安的風險硬要繼續裝著,誒… 真的有人會這樣嗎?)。
這波與 Chrome 相關的安全性功能更新還包含了,會主動將 http 連線的網頁嘗試升級為 https 的功能 – 據說,如果發現無法正常連線的話,Chrome 則是會聰明的回退到先前的書籤或網址版本。不過這種機制所帶來有點類似於「重試」的瀏覽體驗,可能也會有一點半強迫網站思考是不是該加入 https 連線的行列了?
最後,Google 還為自家瀏覽器帶來了會主動偵測在不安全網路環境下(看範例圖應該是針對網站本身的連線),如果想要下載高風險的檔案(應該是內含敏感資訊之類的吧?)就會發出相關的警告請你三思。
