Из каталога Chrome Web Store было исключено расширение YouTube Queue, установленное более 7000 раз.

Дело в том, что несколько недель назад пользователи стали замечать, что поведение расширения изменилось. Ранее безобидное YouTube Queue начало перенаправлять поисковые запросы пользователей через Croowilla.Search и кастомный поисковик Information Vine. В итоге пользователи видели все ту же поисковую выдачу Google, только изрядно «разбавленную» рекламой и партнерскими ссылками.

Расширение удалили из каталога, когда на эту подозрительную активность обратил внимание разработчик Microsoft Edge и бывший инженер команды Google Chrome Эрик Лоуренс (Eric Lawrence). Исследователь привлек внимание к происходящему через свой Twitter.

Oh. pic.twitter.com/kbeJtXNUzZ

— Eric Lawrence (@ericlaw) 18 июня 2019 г.

Лоуренс выяснил, что подозрительный код появился только в расширении из Chrome Web Store, но не в официальном репозитории на GitHub. Журналисты издания The Register пошли еще дальше и сумели связаться с разработчиком YouTube Queue, который объяснил, что некоторое время назад продал свое расширение известной платформе веб-приложений Softools. Интересно, что представители Softools отрицают свое участие в разработке расширения и заявляют, что не имею никакого отношения к подозрительной функциональности, появившейся в его коде.

Однако эта ситуация интереса еще и тем, что Эрик Лоуренс считает, что YouTube Queue – идеальный пример того, по какой причине разработчики Google считают webRequest API потенциально опасным и планируют существенно ограничить его функциональность.

Напомню, что вокруг использования этого API уже давно ведутся жаркие споры, связанные с разрабатываемым Google Manifest V3. Дело в том, что блокировщики контента и другие расширения для Chrome могут пострадать из-за изменений, которые инженеры Google планируют внести в третью версию манифеста, который, по сути, определяет возможности и ограничения для расширений. Релиз Manifest V3 и соответствующих изменений в кодовой базе запланирован на январь 2020 года.

Суть проблемы заключается в том, что в Google намерены ограничить работу webRequest API, что может негативно сказаться на функционировании блокировщиков контента и не только. Вместо webRequest разработчикам будет предложено использовать declarativeNetRequest API, и по словам многих девелоперов, переход на другой API, сильно отличающийся от webRequest и во многом ему уступающий, в сущности, станет «смертью» их продуктов.

На прошлой неделе специалисты Google сообщили, что 42% всех вредоносных расширений, обнаруженных в Chrome Web Store с января 2018 года, тем или иным образом использовали webRequest API. И YouTube Queue – одно из таких расширений.

Стоит заметить, что на этой неделе инженер-разработчик Chrome Джастин Шах (Justin Schuh) еще раз объяснил официальную позицию Google и детально рассказал в своем Twitter о том, что ограничивая webRequest API, компания заботится и безопасности и приватности пользователей, а не пытается «убить блокировщики рекламы».

Since I keep getting asked: Chrome hasn't "changed the justification" for Manifest v3 from performance to security and privacy. Manifest v3 was literally announced with the following text in a post titled "Trustworthy Chrome Extensions, by default."https://t.co/KmPkfRg9CK pic.twitter.com/LYMm3bFurQ

— Justin Schuh (@justinschuh) 18 июня 2019 г.

Источник: xakep.ru