Google Chromeチームは10月1日(米国時間)、「Chromium Blog: Trustworthy Chrome Extensions, by default」において、今後リリースするChromeにおいてエクステンションに関するセキュリティ機能をさらに強化すると伝えた。

豊富なエクステンションはChromeの魅力の1つだが、エクステンションはマルウェアやアドウェアを仕込むプラットフォームとしての悪用が広まっており、安全ではないエクステンションをインストールしてしまう機会も増えている。Googleは機能強化を通じてChromeエクステンションの安全性を引き上げることを狙ってい。

  • エクステンションがアクセスできるホストをユーザが選択できる機能 - 資料: Google Chromeチーム提供

    エクステンションがアクセスできるホストをユーザが選択できる機能 - 資料: Google Chromeチーム

具体的には、Chrome 70からはエクステンションがアクセスするホストをユーザーが制限できるようになる。または、アクセスが必要になった段階で、エクステンションがユーザに許可を求めるようになる。エクステンションが後からマルウェアコードをダウンロードして動作する仕組みになっているものがあることから、機能を強化したことで攻撃を防止しやすくなるものと見られる。

また、Googleは同日からChrome Web Storeに登録するエクステンションに対して難読化されたコードを含むことを禁止することにも言及。Webから取得されるコードが難読化されていることも禁止するとしている。

難読化されたコードはマルウェアやアドウェアエクステンションで使われることが多いほか、レビューを複雑化させる要因の1つにもなっており、難読化されたコードの使用を禁止することで、こうした問題を緩和する狙いがある。なお、難読化は禁止されるものの、縮小化(minification)は引き続き許可されるとしている。