6,000,000人のユーザーを持つ57のChrome拡張機能のセットが発見され、閲覧行動の監視、ドメインのクッキーへのアクセス、潜在的なリモートスクリプトの実行など、非常に危険な機能を備えている。
これらの拡張機能は「非表示」であり、Chromeウェブストアの検索には表示されず、検索エンジンのインデックスにも登録されず、ユーザーが直接URLを知っている場合にのみインストール可能です。
通常、このような拡張機能は、社内ツールや開発中のアドオンのようなプライベートなソフトウェアです。しかし、脅威行為者は、広告や悪意のあるサイトを通じて積極的にプッシュする一方で、検出を回避するためにこれらを使用している可能性があります。
危険なChrome拡張機能
これらの拡張機能はSecure Annexの研究者John Tucknerによって発見されたもので、彼は「Fire Shield Extension Protection」という名前の不審な拡張機能を調査した後、最初の35個を発見した。
この拡張機能はかなり難読化されており、ブラウザから収集した情報を送信するためのAPIへのコールバックが含まれている。
ソースはこちら:セキュア・アネックス
Tuckner氏は、この拡張機能に含まれる「unknow.com」というドメインを通じて、広告ブロックやプライバシー保護サービスを提供すると主張する、同じドメインを含む追加の拡張機能を発見した。
.jpg)
しかし、これらはすべて、以下のアクションを実行することを許可する過度に広範なパーミッションを含んでいます:
- 機密ヘッダ(例えば’Authorization’)を含むクッキーへのアクセス。
- ユーザの閲覧行動の監視
- 検索プロバイダ(および検索結果)の変更
- iframeを介して、訪問したページにリモートスクリプトを注入し、実行する。
- リモートで高度なトラッキングを有効にする
Tuckner氏は、ユーザーのパスワードやCookieを盗むような拡張機能は発見していないものの、過度にリスキーな機能、大幅に難読化されたコード、隠されたロジックは、研究者が危険であり、スパイウェアの可能性があると判断するのに十分なものでした。
タックナー氏は、「他の機能にも難読化されたシグナルがあり、トップ訪問サイトのリストアップ、タブの開閉、トップ訪問サイトの取得、アドホックな方法で上記の機能の多くを実行する機能など、重要なコマンド・アンド・コントロールの可能性がある」と説明する。
“これらの機能の多くは検証されていないが、悪意のある拡張機能からあなたを保護するような単純なことを主張する35の拡張機能にこの機能が存在することは、かなり懸念される “とTuckner氏は説明する。
出典:Secure Annex:Secure Annex
本日未明、研究者は同じ操作に属すると思われる22の拡張機能を追加し、合計で600万人が使用する57の拡張機能を追加した。新たに追加された拡張機能の中には、公開されているものもある。
Tuckner氏によると、先週の報告を受けて、多くの拡張機能はChromeウェブストアから削除されたが、まだ残っているものもあるという。
Source :
ダウンロード数の多いものは以下の通り:
- Cuponomia – Coupon and Cashback (700,000 users, public)
- Fire Shield Extension Protection(300,000 users, 非掲載)
- Total Safety for Chrome™( 30万ユーザー、未掲載)
- Protecto for Chrome™( 20万ユーザー、未掲載)
- Browser WatchDog for Chrome™(20万ユーザー、公開中)
- Securify for Chrome™( 20万ユーザー、未掲載)
- Browser Checkup for Chrome by Doctor (20万ユーザー、公開中)
- Choose Your Chrome Tools(200,000ユーザー、未掲載)
上記のいずれかをインストールしている場合は、直ちに削除し、慎重を期してオンライン・アカウントのパスワード・リセットを実行することをお勧めします。
グーグルは、タックナーの報告を認識しており、この拡張機能を調査中であると伝えた。
また、これらの拡張機能の開発者に、隠蔽されたコードに関する質問をしたが、現時点では回答は得られていない。
Comments