Om de veiligheid van Chrome-extensies te verbeteren heeft Google verschillende maatregelen aangekondigd, zoals het verbieden van geobfusceerde code en het verplichten van tweefactorauthenticatie voor extensie-ontwikkelaars.

Google stelt dat er inmiddels meer dan 180.000 Chrome-extensies beschikbaar zijn en meer dan de helft van de Chrome-gebruikers op de desktop een extensie heeft geïnstalleerd. Het afgelopen jaar heeft Google al verschillende stappen doorgevoerd om de veiligheid van extensies te verbeteren, maar volgens Googles James Wagner zijn er fundamentelere veranderingen nodig. Zo werden onlangs nog de Chrome-extensies van MEGA.nz en vpn-aanbieder Hola van malware voorzien nadat iemand de accounts van de extensie-ontwikkelaars had overgenomen.

Vanaf Chrome versie 70 die later deze maand verschijnt krijgen gebruikers daarom de mogelijkheid om extensies tot een beperkte lijst van websites te beperken of in te stellen dat een extensie pas na een muisklik toegang tot de pagina krijgt. Voor Chrome-extensies die vergaande permissies vragen zal er daarnaast een extra controle plaatsvinden. Ook zal er nauwlettender worden gekeken naar extensies die gebruikmaken van code die remote wordt gehost.

Verder heeft Google per direct het gebruik van geobfusceerde code in extensies verboden. Zeventig procent van de extensies die Google wegens het overtreden van de regels blokkeerde maakte gebruik van geobfusceerde code. Obfuscatie maakt het lastig om te bepalen wat een extensie precies doet. Bestaande extensies met geobfusceerde code krijgen 90 dagen de tijd om die te verwijderen, anders zullen ze uit de Chrome Web Store worden verwijderd.

Een ander probleem dat Google gaat aanpakken is de veiligheid van extensie-ontwikkelaars. Zowel vorig jaar als dit jaar wisten aanvallers via phishingmails de accounts van extensie-ontwikkelaars over te nemen. Vervolgens gebruikten aanvallers deze toegang om malafide updates onder gebruikers van de Chrome-extensies te verspreiden. Vanaf volgend jaar worden extensie-ontwikkelaars door Google verplicht om van tweefactorauthenticatie gebruik te maken. Als laatste gaat Google volgend jaar ook veranderingen aan het platform doorvoeren die voor sterkere veiligheids- en privacygaranties moeten zorgen.