約600万人のユーザーを擁する57個のGoogle Chrome拡張機能に、閲覧行動の監視、Cookieへのアクセス、リモートスクリプトの実行など、非常に危険な機能が備わっていることが判明したと、拡張機能専門のセキュリティ企業であるSecure Annexが報告しました。
Searching for something unknow | Secure Annex
https://secureannex.com/blog/searching-for-something-unknow/
Chrome extensions with 6 million installs have hidden tracking code
https://www.bleepingcomputer.com/news/security/chrome-extensions-with-6-million-installs-have-hidden-tracking-code/
Secure Annexの創業者であるジョン・タックナー氏は、Chrome向けの拡張機能のチェック中に、Chromeウェブストアで「非公開」になっている拡張機能132個を特定しました。
非公開の拡張機能とは、Google検索やChromeウェブストアでの検索に引っかからないように設定されていて、URLに直接アクセスしなければダウンロードできないようになっている拡張機能です。その多くは、企業の社内ツールや開発中の拡張機能で、非公開になっているのは意図せずに一般ユーザーがダウンロードしてしまわないようにするためですが、人目を引かないようにこっそりとマルウェアを拡散させるのに利用されているケースも少なくないとのこと。
案の定、タックナー氏は「Fire Shield Extension Protection」という疑わしい拡張機能を見つけました。この拡張機能は、ブラウザの拡張機能をチェックして問題を見つけたら警告することをうたい文句にした拡張機能で、ユーザー数は30万人、評価は2.2でした。ユーザー数が多い割に評価が低い点が目に付きますが、エンタープライズ向けの非公開拡張機能は使い方が難しかったり、そもそも普通の用途では使えなかったりして評価が低くなりがちなので、特に不自然というわけではないとのこと。
しかし、問題の拡張機能を解析したタックナー氏は、ブラウザから機密データを収集して送信するためのAPIへのコールバックが非常に難読化された状態で仕込まれているのを突き止めました。
