新たなセキュリティ調査により、ユーザーの閲覧データを密かにリモートサーバーに送信していると思われる287個のChrome拡張機能が発見され、推定3,740万回のインストールに影響を及ぼしています。
これは研究者の推定によると、世界のChromeユーザーベースの約1%にあたります。
研究者は、「スパイ」行動を大規模に検出するための自動テストパイプラインを構築しました。
彼らはDockerコンテナ内でChromeを実行し、すべてのブラウザトラフィックを中間者攻撃(MITM)プロキシ経由でルーティングし、その後、漏洩パターンを明らかにするよう設計された管理されたWebアドレスを訪問しました。
拡張機能の説明や権限だけに頼るのではなく、チームは拡張機能がネットワーク上で実際に何を行ったかに焦点を当てました。
調査結果は公開GitHubリポジトリで公開されました。詳細なレポートと、より簡単に閲覧できるHTML版も併せて公開されています。
彼らの主要なアイデアはシンプルでした。拡張機能が無害である場合(例えば、テーマの変更やタブの管理など)、訪問したURLが長くなってもアウトバウンドトラフィックは増加しないはずです。
しかし、拡張機能が完全なURLまたはその一部を第三者に送信している場合、アウトバウンドトラフィックはURLサイズに応じて増加する傾向があります。
チームは漏洩メトリックを使用してこれを測定しました:bytes_out=R⋅payload_size+b。
R≥1.0の場合、エンドポイントは「確実に漏洩している」として扱われ、0.1≤R<1.0の場合は、手動レビュー用の漏洩可能性として フラグが立てられました。
規模は作業の大きな部分を占めました。レポートによると、スキャン作業は約930 CPU日を消費し、1つの拡張機能あたり平均約10分の実行時間でした。
研究者はまた、完全なツールの詳細を公開することを避けました。すべての実装手順を公開すると、拡張機能運営者が戦術を変更して検出をより速く回避できるようになる可能性があると主張しています。
疑わしいデータ収集者は、有名な分析およびデータブローカーエコシステムから、より小規模で不明瞭な事業者まで多岐にわたりました。
レポートでは、Similarweb、「Big Star Labs」(Similarwebと関連があるとされる)、Curly Doggo、Offidocs、および研究者が中国系と説明するその他の事業者、さらに複数の小規模ブローカーなどのグループやブランドが名指しされています。
主な懸念はプライバシーだけではありません。漏洩したURLには、個人識別子、パスワードリセットリンク、ドキュメント名、内部管理者パス、および標的型攻撃に有用なその他の手がかりが含まれる可能性があります。
下流での使用を理解するために、チームは「ハニーURL」を使用してハニーポットを作成し、後で誰がアクセスしようとしたかを監視しました。
複数のIP範囲が繰り返しハニーポットにヒットしました。レポートでKontera(複数のAWS NATエンドポイント)、HashDit、Blocksi AI Web Filterに関連付けられているインフラストラクチャを含み、収集後に少なくとも一部のスクレイピングされた閲覧データが再クエリまたは再販されている可能性を示唆しています。
ユーザーが今できること:
- 認識していない、または使用しなくなった拡張機能を削除する
- 明確なプライバシーポリシーを持つ有名な発行元を優先する
- 拡張機能の権限を確認する(特に「訪問したウェブサイトのすべてのデータの読み取りと変更」)
- 拡張機能をインストールした後の異常なネットワークアクティビティやブラウザの速度低下に注意する
- 組織では、管理者ポリシーを通じて拡張機能のインストールを制限し、検証済みのアドオンのみを許可リストに登録する
翻訳元: https://gbhackers.com/287-malicious-chrome-extensions-steal-browsing-data/
