Chrome Web Store 引用了超過 180,000 個擴展,這無疑是成功的。不幸的是,這也吸引了駭客。該應用程式商店中經常會發現惡意擴展,這迫使谷歌事後進行清理。去年四月,一位安全研究人員發現現有擴充的副本實際上,這使得創建殭屍網路成為可能。 2017 年,一名駭客成功地將AdBlock Plus 的複製品它沒有從網站上刪除廣告,而是添加了廣告。
在目前處於測試階段的 Chrome 70 中,這些技巧將變得更加難以實現。在一個部落格文章谷歌解釋說,用戶將能夠限制擴展程式的操作。開啟擴充功能的上下文選單來指定讀寫權限就足夠了。這可以授予所有站點,但也可以限於使用者定義的一個或多個站點。授權也可以透過點擊滑鼠來進行。
谷歌還將加強對需要廣泛存取權或使用第三方伺服器託管程式碼的擴充功能的驗證程序。本著同樣的精神,這家網路巨頭決定在未來禁止一些開發人員用來保護其數位作品的程式碼混淆技術,但這些技術也允許駭客隱藏惡意功能。最後,從 2019 年開始,Chrome 擴充功能開發人員將被要求啟用強式身分驗證,以盡可能避免 Chrome Web Store 帳戶遭到駭客入侵。
