グーグルは、グーグルモバイルアプリの最新のアップデートにより、アプリから共有されるリンクに「search.app」という謎のドメインが付加されるようになり、アンドロイドユーザーを困惑させている。
グーグルアプリはアンドロイドユーザーにとってウェブ検索のポータルとして人気があり、グーグルディスカバーと呼ばれるパーソナライズされたコンテンツのニュースフィードを配信しているため、新しいリンクに気づいた人々の間で懸念が広がっている。
search.appの謎のリンクとは?
2024年11月6日、グーグルはアンドロイド版アプリのバージョン15.44.27.28.arm64をリリースした。同じ頃、同社はChrome(Android)のアップデート[1,2]を “ごく一部のユーザーに “配布した。
それ以来、Googleのアプリ内Chromiumブラウザーで表示されるリンクは、外部で共有される際、”search.app “ドメインが先頭に付加されるようになっている。
Googleのアプリをアップデートした直後にこの挙動に気づいたが、謎のドメインを見て最初は不安になった。私たちのデバイスはアドウェアに感染しているのだろうか?
私たちの懸念は、今週Redditで他のユーザーによって反響を呼んでいる。
“最近(数日前)、グーグルのアプリ内ウェブブラウザから共有される各リンクが’search.app’ドメインを使用していることに気づきました “とRedditユーザーのdanilopiazzaは 尋ねた。
“例えば、Redditのフロントページへのリンクを共有しようとすると、https://search.app?link=https%3A%2F%2Fwww.reddit.com%2F&utm_campaign=...&utm_source=…” と表示されます。
“これはGoogleアプリの新機能ですか?”
読者からは、「そのようです。私もそうです。最初は、何らかのマルウェアに感染しているのか、あるいは私の知らないところで設定が変更されているのかと思いました」。
同様の投稿は他の人からも出ている。
今週、グーグルのアンドロイド・アプリを経由してXや フェイスブックのソーシャルメディア投稿で共有されているリンクを観察したところ、”search.app “ドメインもついていた:
search.appのリンクを持つソーシャルメディア上の古い投稿(2024年6月~)をいくつか観察したが、URL構造はかなり異なっていた。例えば、https://search[.]app/ddc8Ap3W8nySXJ7bA。
search.appは安全か?
簡単に言えば、search.appは、X(旧Twitter)が使用するt.co、Googleのg.co、Metaのm.meのようなURLリダイレクトドメインである。
リンクに “https://search.app?link=”を付けることで、グーグルは、リンクがグーグルアプリのユーザーによって外部でどのように共有されているのか、そして、誰がこれらのリンクをクリックしているのか(つまり、リファラー)を可視化することができる。
アナリティクスの収集に加え、”search.app “ドメインを使用することでユーザーと外部リンクの間に位置することで、Googleは、ウェブサイトが不正な状態に陥った場合や、ユーザー同士が(詐欺サイトなど)疑わしいコンテンツを大量に共有している場合に、フィッシングやハッキングされたドメインへのトラフィックをブロックする能力を持つことになる。
テストでは、search.appに直接アクセスすると、Firebaseのロゴが表示された “Invalid Dynamic Link “ページが表示された。
Firebaseは2014年にGoogleに買収され、以来“Googleのモバイル開発プラットフォームで、アプリを素早く構築し、成長させることができる “ようになった。
Googleの別ドメインhttps://search.app.goo.gl/に移動した際にも同様の画面が表示されることに気づいた。
皮肉なことに、Firebase Dynamic Linksは非推奨であり、2025年8月までに閉鎖されることになっている。
search.appとgoo.glのWHOIS記録には、登録者組織としてGoogle LLCが、レジストラとしてMarkMonitorが記載されている。
SSL証明書とホスティングを100以上のドメインで共有
この記事を公開した後、複数の読者から「search.app」ドメインに発行されたTLS証明書の異常を指摘された。
さらに混乱を招いたのは、search.appの証明書のCommon Name(CN)がfallacni.comに 設定されていることだ。fallacni.comは フランス語のウェブサイトで、”国民IDカードを見つける “手助けをすると謳っている。
さらに、同じFirebaseサーバー(IPアドレス199.36.158.100)でホストされている以下の100以上のドメインで、同じSSL証明書が使用されていることに気づいた。
vireum.com
meatton.go1pos.com
digitley.co.in
www.mcseat.es
ポートフォス
app.eluminate.in
デイリーポストビート
www.hertzog-psychologue.fr
www.kanau.page
venits.com
www.weiwhite.com
jzz.me
golden-notes.io
peacedollar.org
ing-v3.sudahdistaging.in
merchantinstall.iomd.info
search.app
www.directions.healthcare
ゼリージャム
www.oeson.in
www.cutrite.app
api.onflix.app
cmouse.app
www.preaching.app
doc-internal.dalek.rs
honeycome.jp
podium.ツール
www.dreamlin.com
fireacademy.io
mumbai.toobzgaming.com
risingstar.blackmint.io
qanda.link
editor.agua.app
aariz.me
link.nibo.com.br
site-result-auctions.farmgateauctions.com.au
beta.inhouseorders.io
typov.app
www.azvn.app
m.fiskal.app
genesix.ai
join.getostrich.app
swan-business-bugfix.ingogodev.net
compizza.lupi.delivery
bm.fusheng.info
preparhub.ca
go.holler.io
meeting.skylar.ai
イースターベイ
投資.scoutout.io
www.un-sichtbarespuren.de
cronometro.net
overthemoon.art
www.scenid.com
クラフトバイト
カラーボイス
avantagecpo.com
fouronetwo.equiem.mobi
yo-dev.eparatodos.org
フェデラルカフェ.5loyalty.com
bstsst.com
b.ejsa.io
souscription.flitter.fr
flyvendas.com.br
flairtime.com
cinemetric.app
flyclub.app
www.endevagames.com
getpayify.app
justpic.app
selfy.ai
omnamo.app
davidvu.co.uk
console.shopezy.app
home.jooni.app
gpso.se
guicerpro.com
demo.pricely.app
speccon.cnfg.app
collctiv.app
productbacklog.dev
app1.posible.in
bookmark.undef.in
jeyhid.com
レトロイット・コム
rakesfieldandpeach.com
デジタルネパルソリューション.com
ryandine.com
dranandcardiocare.comさん
desiderioalmansa.com
vekend.com
strozu.com
hausasteri.com
bishoyriad.com
harshalplus.com
デリバリーハブ
eplise.com
ウルトラサイトサービス.co.uk
reciproitsolutions.com
これは、サーバー名表示(SNI)のようなSSL/TLS技術の使用によるもので、共有ホスティング・サーバー上で複数のドメインをHTTPSで提供することを可能にしている可能性もあるが、確かに不規則なようだ。
比較のため、グーグルのsearch.app.goo.glの証明書は、CNが「misc-sni.google.com」に設定され、IPアドレス216.58.212.206でホストされている。
これまでのところ、search.appのリダイレクトURLは安全であり、Googleによって公式に運営されているように見えるが、このドメインにまつわる文書がまったくないのは奇妙であり、AndroidやChromiumといったGoogleのオープンソースプロジェクトの公開変更履歴にも記載がない。
アプリのアップデートが展開されることで、今後さらに多くのユーザーが、自分のデバイスが異常な動作をしているのではないか、あるいはマルウェアに感染しているのではないかと不安になるに違いない。
これは、外部記事へのリンクの先頭に https://apple.news を付けるアップル・ニュースを真似たグーグルの試みなのだろうか?
過去にも、グーグル・クロームが奇妙なGVT1.comドメインを使用したことがあり、これらのドメインに関する公開文書がないため、最も熟練した研究者でさえも監視の目を光らせていた。
掲載に先立ち、Googleにコメントを求めたところ、回答を待っているところです。
更新、2024年11月8日10時35分(米国東部時間):search.appが提示する曖昧なSSL証明書に関するセクションを追加しました。これは発展途上の話です。
Comments