Google impõe prazo para resolução de falha de segurança no Chrome

Categoria : Segurança Visitas: 2595 Tempo de Leitura: 3 Minutos

Em agosto de 2018, o Google Chrome era o web browser que detinha 67,66% da quota de mercado global, em desktops. Para contextualizarmos melhor, vejamos que o Mozilla Firefox vem em segundo lugar com apenas 10,96%, seguido pelo Internet Explorer (6,97%), o Safari (5,13%) e o Microsoft Edge (4,24%). A última versão, o Chrome 70, será disponibilizada este mês e todos os olhares parecem estar sobre o Google, para perceber o que vai ser feito relativamente aos problemas de segurança que têm afetado as extensões.

Ao longo da última década, estas têm definido a forma como cada indivíduo interage na internet, e com mais de 180 mil atualmente disponíveis na Web Store do Chrome, e com quase metade dos utilizadores do browser a usarem pelo menos uma, a segurança tem mesmo de ser levada a sério. Tudo isto para dizer que os ataques tiveram, efetivamente, sucesso em comprometer extensões. E aqui referimo-nos, por exemplo, a extensões que utilizaram recursos dos computadores onde estavam instaladas para minerar criptomoedas, ou contas de developers terem sido invadidas por hackers para serem usadas para convencer os utilizadores a fazerem updates a extensões que afinal instalavam código malicioso nos computadores.

Um outro aspecto que também não tinha vindo a colher agrado era a falta de transparência no código. Tal mudou e teve efeito imediato quando o product manager das extensões do Chrome, James Wagner, disse num post no blog Chromium que nunca mais aceitariam códigos obscuros, e que “tal inclui packs integrados ou códigos externos, bem como recursos obtidos na web”.

A nova política teve efeito imediato sobre todas as novas submissões, e os developers das extensões já existentes com código pouco limpo terão até dia 1 de janeiro do próximo ano para o tornar clean. Se não cumprirem as novas regras, verão o seu produto removido da Web Store definitivamente.

Porque é que códigos obscuros são um problema?

De acordo com Wagner, mais de 70% de todas as extensões maliciosas ou violações das políticas de segurança que foram bloqueadas tinham códigos obscuros. O Google afirma que esta falta de transparência faz com que todo o processo de revisão se torne mais complexo e moroso do que aquilo que seria necessário, e tem um alto impacto na performance para os utilizadores – pois a execução torna-se mais lenta e ocupa mais memória.

Enquanto que quem desenvolve os códigos vai argumentar que os cria desta forma para proteger a propriedade intelectual, Wagner contra-argumenta: enquanto o JavaScript continuar a correr localmente, tal é insuficiente para proteger essas propriedades de alguém motivado a corromper o código.

Em jeito de compromisso, o motor de pesquisa mais utilizado no mundo vai continuar a permitir que se faça o que é conhecido como “minimização” do código – uma linguagem de programação que, resumidamente, retira todos os caracteres desnecessários sem retirar qualquer função. Esta ação não só reduz a quantidade dos recursos consumidos mas também poderá melhorar a velocidade de execução, mas terá pouco impacto no processo de policiamento e revisão de segurança.

As técnicas de “minification” que o Google irá permitir incluem a remoção de white space, comentários e bloqueadores no código, tal como o encurtamento de variáveis e nomes de função.

A transparência no lançamento do Chrome 70 também se extende aos utilizadores, que terão mais controlo sobre a possibilidade das extensões lerem ou alteraram dados. Atualmente, é muito comum aceitar-se a permissão requerida para instalar uma extensão, mas não há controlo sobre o que o utilizador pode restringir, no que aos websites diz respeito.

Assim, outra novidade nesta nova versão do browser é que os utilizadores poderão ativar restrições – tal como a possibilidade de as extensões apenas acederem a sites que estejam autorizados e opções para adicionar um clique no rato antes de garantir acesso de qualquer página.

Outras alterações anunciadas também vão ter impacto nos criadores de extensões: é sabido que haverá a inclusão de acordos de aceitação adicionais; todas as extensões que façam uso de código alojado remotamente também vão ser amplamente escrutinadas, como monitorização contínua mesmo após terem sido revistas e autorizadas.

Finalmente, o Google anunciou ainda que a partir do próximo ano haverá uma verificação de dois fatores obrigatória para todos os developers. Tal tem vindo a ser encorajado ao longo dos anos, mas nunca tinha sido indispensável.

Catarina Sousa

A former journalist on newspapers and TV, now publicist and creative mind at her own agency. Passionate about writing, creating ads and watch Law & Order. Married, mom of two adorable cats.