أعلنت شركة جوجل عن طرح ميزة أمنية جديدة تحمل اسم “الرفع المُوثق لملفات CRX” (Verified CRX Upload)، تهدف إلى تعزيز أمان سلسلة توريد إضافات متصفح “كروم” من خلال إلزام المطورين باستخدام توقيعات تشفيرية لجميع تحديثات الإضافات. وتأتي هذه الخطوة استجابةً لتهديد متزايد يتمثل في استغلال المهاجمين لحسابات المطورين من أجل تمرير تحديثات خبيثة إلى متجر Chrome Web Store (CWS).
وتتجاوز هذه الحماية الجديدة المراجعات البرمجية المعتادة التي تُجريها غوغل للإضافات، والتي قد لا تتمكن دائمًا من كشف السلوكيات الضارة خاصة عندما تكون التحديثات موقعة وشرعية شكليًا.
آلية العمل: التوقيع الرقمي شرط أساسي
بحسب وثيقة رسمية نشرتها جوجل، فإن آلية “الرفع المُوثق” تتطلب من مطور الإضافة تقديم مفتاح عام إلى غوغل، وبعد ذلك يُمنع من رفع ملفات مضغوطة (ZIP) غير موقعة، ويُشترط رفع ملف CRX موقّع باستخدام المفتاح الخاص المرتبط بذلك المفتاح العام. وبهذه الطريقة، تتحقق طبقة إضافية من التوثيق لا ترتكز فقط على بيانات اعتماد الحساب أو الجلسات.
منع الاختراقات حتى مع تسريب بيانات الدخول
الميزة الجديدة تعني أن المهاجم—even إذا تمكن من سرقة كلمة مرور المطور، أو ملفات تعريف الجلسة (cookies)، أو حتى رموز OAuth—لن يتمكن من رفع تحديث خبيث إلى المتجر ما لم يمتلك المفتاح الخاص للتوقيع الرقمي. وهذا يمثل نقلة نوعية في تأمين سلسلة التوريد الرقمية، ويعزّز ثقة المستخدمين في إضافات كروم من خلال الحدّ من فرص تسلل البرمجيات الضارة عبر بوابة المطورين الشرعيين.
خلفية: تهديدات متصاعدة لسلسلة التوريد
تأتي هذه الخطوة من جوجل في ظل تزايد الحوادث التي يستغل فيها المهاجمون حسابات المطورين أو يستولون على إضافات مشهورة ثم يحقنونها بأكواد خبيثة. وقد شهدت السنوات الأخيرة تصاعدًا في الهجمات التي تُعرف باسم “هجمات سلسلة التوريد البرمجية”، والتي تستهدف منصات التوزيع الموثوقة كوسيلة لإيصال البرمجيات الضارة إلى المستخدمين دون أن يثير ذلك شكوكًا أمنية في البداية.
