ライブ壁紙拡張機能は、ブラウザの見た目を手軽に変える無害なツールのように思えますが、研究者たちがChromeウェブストアに潜む危険な拡張機能を152件発見しました。ライブ壁紙を装ったこれらのアドオンは、広告監視機能を隠蔽し、自身のトラフィックをGoogleの自然検索から流入したかのように見せかけていました。
単一のコードベース、複数のパブリッシャーアカウント
このファミリーの拡張機能は、Socketの研究者によって発見されました。調査によると、これらのプロジェクトはすべて共通のコードベースを起源としながら、3つの関連ブランド名のもとで運営される38の異なるパブリッシャーアカウントを通じて配布されていました。これらの拡張機能の累計インストール数は、合計で約105,000件に上っています。
Chromeウェブストアの掲載ページでは、開発者はユーザーデータを収集しないと記載していました。しかし、関連するプライバシーポリシーには全く異なる内容が書かれており、IPアドレス、インターネットプロバイダー情報、リファラルソース、クリックデータの収集と、それらを広告パートナーへ提供することが明記されていました。
インストール・アンインストール時のGoogle検索トラフィック偽装
中核となる欺瞞は、拡張機能のインストールページとアンインストールページを通じて機能していました。tabpluginsと呼ばれる新しいテンプレートをベースに構築された54件の拡張機能では、拡張機能をインストールすると自動的に、utm_source=googleおよびutm_medium=organicというURLパラメーターを付与した状態で運営者のウェブサイトが開かれました。このタブは拡張機能自体が開いたものに過ぎませんが、アナリティクスプラットフォームはこのアクセスをGoogleからの正規のオーガニック検索リファラルとして認識してしまいます。拡張機能を削除する際には、検索結果のクリックに典型的なパラメーターを含む、google.com/urlリダイレクト形式のアンインストールURLが起動されました。その結果、拡張機能を削除した際に生成されるシグナルでさえ、本物のGoogle検索からのアクセスを模倣していました。
この手口はユーザーのデフォルト検索エンジンを変更したり、閲覧ウェブサイトに広告を挿入したりするものではありませんでした。収益は、広告ブロックを掲載したブランドページにユーザーを誘導することで得られており、偽装されたアトリビューションが広告システムやアフィリエイトプログラムに対してトラフィックの品質を実際よりも高く見せかけていました。実際には、これらの拡張機能のいずれかをインストールするだけで、ユーザーのデバイスが人工的に作り出したオーガニックアクセスを生成する装置と化してしまいます。詳細については、Socketによるこれら152件の拡張機能の完全な技術分析をご覧ください。
全サンプルに共通のストレージ削除コードを確認
研究者たちは、調査したすべての機能的なビルドの内部に、同一のコード断片が存在することも発見しました。このコードはサービスワーカーの起動時にIndexedDBデータベースを順次処理し、それらを削除しようとします。現状の形では、これらのルーティンは拡張機能自体のストレージスコープ内でのみ動作し、ウェブサイト、Cookie、localStorage、アクティブなユーザーセッションには一切影響を与えていないため、ブラウザから実際に何かが削除されることはありませんでした。
それでも研究者たちは、この動作を非常に疑わしいものとして指摘しています。ライブ壁紙拡張機能が起動時に自身のストレージを無音で消去する正当な理由は存在しません。
インフラと削除対応
複数の拡張機能は、tabplugins、yowgames、chromewallpaperというドメインを経由して活動を行っており、うち1つのドメインはowhit.comにリダイレクトしていました。Socketがレポートを公開した時点で、拡張機能のうち11件はすでにChromeウェブストアから削除されていました。さらに3件の拡張機能には、バックグラウンドスクリプトにバグが含まれており、インストールロジック、削除ロジック、IndexedDBのクリーンアップが実行されない状態でした。ただし、拡張機能自体はインストールされ、ブラウザの新しいタブページを変更していました。
ユーザーとセキュリティチームへの推奨事項
ユーザーは、tabplugins、yowgames、chromewallpaperのいずれかのブランドに関連するライブ壁紙拡張機能をすべて削除することが推奨されます。また、Chromeの新しいタブページとデフォルト検索エンジンの設定が変更されていないかも確認してください。今後、同様の拡張機能をインストールする前には、ストア掲載ページに記載されたデータ慣行とプライバシーポリシー全文を必ず照合するようにしてください。
セキュリティチームには、個別の識別子よりも、ファミリー全体の行動指標を探すことが推奨されます。主要なシグナルとしては、IndexedDBの削除試行、google.com/urlリダイレクトを含むsetUninstallURL、utm_source=googleとutm_medium=organicパラメーターを持つインストールURLなどが挙げられます。
翻訳元: https://meterpreter.org/chrome-live-wallpaper-extensions-ad-tracking/
