ModHeader拡張機能、隠されたトラッキング機能により削除される

by


·
掲載日
· 更新日

Image

広く利用されているブラウザ拡張機能が、何年もの間、安全なツールを装い続けている場合があります。その裏では、高度な監視の仕組みが密かに潜んでいることもあります。今回、GoogleとMicrosoftは、それぞれChromeとEdgeのリポジトリからModHeaderを削除しました。きっかけとなったのは、閲覧履歴を収集する隠しモジュールの発覚です。このモジュールは公式の拡張機能リリースに組み込まれていました。しかも、この特定のビルドには約160万件のアクティブなインストールがありました。

ModHeaderの仕組み

ModHeaderは、HTTPヘッダーの変更を可能にするツールです。HTTPヘッダーは、ページ読み込みの際にブラウザとウェブサイトの間で頻繁にやり取りされるデータです。そのため、ソフトウェア開発者や品質保証(QA)担当者にとって、この拡張機能は欠かせないツールとなっていました。彼らはこれを使ってリクエストパラメータを操作し、ウェブサイトの動作を検証していました。さらに、ソースコードを変更することなく認証トークンを注入することも可能でした。

Stripe OLTがセキュリティ監査を実施

英国のセキュリティ企業Stripe OLTのアナリストが、このコードベースを精査しました。監査には、Chromeウェブストアの公式署名が用いられました。その結果、問題のモジュールは正規ビルドの一部であることが確認されました。不正な偽造版ではなかったということです。詳細については、同社によるChrome拡張機能の隠れたデータ流出に関する報告書を参照してください。Microsoftはその後、7月3日にEdgeから同拡張機能を削除しました。Googleも7月10日にChrome版を削除し、これに追随しました。

休眠状態のデータ収集機能

ModHeaderは表向き、宣伝通りの機能を問題なく実行し続けていました。しかしその裏側のアーキテクチャには、独自のデータ収集の仕組みが潜んでいました。拡張機能の初期化時には、固有のデバイスフィンガープリントが生成されます。続いて、アクティブなウェブページのドメインが抽出されます。このスクリプトは、こうした機密情報を即座に暗号化していました。さらに、最大1,000件の異なるウェブアドレスをキャッシュできる仕様になっていました。

本来意図されていたペイロード送信

このスクリプトは24時間ごとに、収集済みのリストの送信を試みていました。送信先はapi.stanfordstudies[.]comというドメインです。パッケージには特定のデバイスフィンガープリントも付加されていました。送信後、システムはローカルキャッシュを完全に削除していました。幸いなことに、この収集機能は実際には完全に休眠状態のままでした。作動するのは、内部の台帳に記載されたブラウザに限られていたのです。重要な点として、この台帳は完全に空の状態でした。

潜在的な脅威の評価

専門家たちは、実際に閲覧履歴が収集されたという具体的な証拠は発見していません。また、実際にデータが送信された証拠も見つかっていません。とはいえ、この休眠中の仕組みを起動させるには、ごくわずかな手間しか必要としません。開発者は通常のソフトウェアアップデートを配信するだけで済んでしまいます。この操作には追加の権限は一切必要ありません。ユーザーの操作も一切必要としません。さらに、テレメトリ機能の一部要素は、すでに正常に動作していました。

発見されたアクティブなテレメトリ通信

インストール時や削除時、ModHeaderはextensions-hub[.]comと積極的に通信していました。製品の仕様、バージョン番号、基本的なブラウザ情報を送信していたのです。さらに、すべてのページに埋め込まれたスクリプトが、リクエストのメタデータを保存していました。このメタデータは、完全に平文のまま露出した状態になっていました。一方で、自動セキュリティスキャナーによる全体的なリスク評価は、極めて低いというものでした。これは、閲覧履歴の送信機能が無効化されたままだったことが原因です。開発者はデータをしっかりと暗号化していました。そして、この悪意あるコードは正規のプロジェクトの中に巧妙に隠されていたのです。

推奨される対策

サイバーセキュリティの専門家は、ユーザーに対しModHeaderの即時アンインストールを強く推奨しています。ChromeとEdgeの両方の環境から削除する必要があります。その後、プロファイルの同期によって拡張機能が自動的に復元されないか確認してください。企業のポリシーにも、同様の自動再インストールが設定されていないか確認しましょう。これまでにModHeader経由でAPIキーやセッションCookieを入力したことがあるでしょうか。該当する場合は、速やかにこれらの認証情報をローテーションする必要があります。最後に、管理者はstanfordstudies[.]comおよびextensions-hub[.]comへの通信を積極的にブロックすべきです。あわせて、システムログにこれらとの通信履歴がないか監査する必要もあります。

翻訳元: https://meterpreter.org/modheader-hidden-tracking/

ソース: meterpreter.org