2min Security

Chrome-extensies blijven gevaarlijk, ook na Google’s Manifest V3

Chrome-extensies blijven gevaarlijk, ook na Google’s Manifest V3

Met Manifest V3 wil Google Chromium-browsers veiliger maken. Dat is een relatief begrip, want echt dichtgetimmerd zijn V3-gebaseerde extensies allerminst.

Dat blijkt uit onderzoek van SquareX. Onder meer kunnen extensies securityfeatures omzeilen en zelfs videofeeds vanuit Google Meet en Zoom Web stelen zonder permissies. Tevens zijn malafide GitHub-gebruikers toe te voegen aan repositories en zijn redirects naar phishing-pagina’s mogelijk, bijvoorbeeld richting sites vermomd als wachtwoordmanagers.

Het is een pijnlijke conclusie, zeker omdat de overstap naar Manifest V3 veel werk kost voor ontwikkelaars. Alsnog blijven er dus securityproblemen als vanouds meespelen, hoewel het omzeilen van ingebouwde securityfeatures mogelijk nog door gewijzigd Google-beleid kan worden opgelost.

Manifest V3 herhaling van V2

Er is veel kritiek op het vaak uitgestelde Manifest V3. Ondanks het feit dat Google de standaard veiliger en privacygevoeliger zegt te willen maken, dreigen veel populaire extensies te verdwijnen. Zo is uBlock Origin niet compatibel, naast menig andere adblocker. Het heeft Opera, een gebruiker van Google’s Chromium-codebase, ertoe gedreven om zelf ondersteuning voor adblockers te behouden.

Ontwikkelaars moeten hun extensies dus compatibel maken voor V3, waar dat vaak niet mogelijk is door restrictieve regels. Een soortgelijk probleem deed zich voor met Manifest V2, uitgerold in 2012. Een LastPass-developer merkte destijds op dat een significant aantal browsergebruikers nog altijd een verouderde Chrome-browser gebruikte met Manifest V1, waardoor compatibiliteit voor extensies op basis van V2 een hels karwei werd. Weliswaar ging het om kleine percentages, maar dat leidde alsnog tot slechte recensies en reputatieschade.

Google ruimt ook zelf op

Een paar maanden geleden bleek ook Google door Manifest V3 harde keuzes te maken. Sommige eigen Chrome-extensies zullen de overstap vanuit Manifest V2 niet maken. Is het werkelijk zo’n grote klus om V3-compatibiliteit te regelen?

Het lijkt erop van wel. Zo mag er geen code meer gedraaid worden dat op afstand wordt gehost en dus niet gevalideerd is door Google. Een extensie kan voortaan alleen JavaScript executeren dat in de package zit en dus door het reviewproces van de Chrome Web Store is gegaan. Andere wijzigingen elimineren onnodig gebruik van resources maar vereisen nog meer handwerk door ontwikkelaars.