Chrome Web Store 引用了超过 180,000 个扩展,这无疑是成功的。不幸的是,这也吸引了黑客。该应用程序商店中经常会发现恶意扩展,这迫使谷歌事后进行清理。去年四月,一位安全研究人员发现现有扩展的副本实际上,这使得创建僵尸网络成为可能。 2017 年,一名黑客成功将AdBlock Plus 的复制品它没有从网站上删除广告,而是添加了广告。
在目前处于测试阶段的 Chrome 70 中,这些技巧将变得更加难以实现。在一个博客文章谷歌解释说,用户将能够限制扩展程序的操作。打开扩展的上下文菜单来指定读写权限就足够了。这可以授予所有站点,但也可以限于用户定义的一个或多个站点。授权也可以通过单击鼠标来进行。
谷歌还将加强对需要广泛访问权限或使用第三方服务器托管代码的扩展程序的验证程序。本着同样的精神,这家网络巨头决定在未来禁止一些开发人员用来保护其数字作品的代码混淆技术,但这些技术也允许黑客隐藏恶意功能。最后,从 2019 年开始,Chrome 扩展程序开发人员将被要求启用强身份验证,以尽可能避免 Chrome Web Store 帐户遭到黑客攻击。
