37万ユーザの閲覧履歴を送信するChromeの拡張機能が発見

世界中で推定3700万件のインストール数を持つ多くのChromeの拡張機能が、ユーザーの閲覧履歴を外部サーバに送信しています。

「Q Continuum」というペンネームを使用する独立系セキュリティ研究者の発見によれば、合計287個の拡張機能が、シミュレートされたブラウジングセッション中にアクセスされたURLと密接に一致するデータを送信していました。

「情報漏洩の背後にいる行為者は様々です：Similarweb、Curly Doggo、Offidocs、中国の行為者、多くの小さな不明瞭なデータブローカー、そしてSimilarwebの延長部門のようなに見える謎の『Big Star Labs』です」と研究者は述べています。分析を実施するために、研究者はChromeインスタンスを起動し、拡張機能をインストールし、事前に定義されたウェブサイトのセットにアクセスし、アウトバウンド通信をキャプチャする自動化されたパイプラインを構築しました。

研究者は、このようなデータ収集により、従業員がアクセスする内部企業URLを公開することで企業スパイ活動が可能になる可能性があり、拡張機能がクッキーも取得する場合、攻撃者にアクティブなウェブセッションの詳細を提供することで認証情報の収集を容易にする可能性があると警告しました。

拡張機能には、VPN、生産性ツール、ショッピングアドオンが含まれる

この調査では、VPN/プロキシサービス、クーポン検索ツール、PDFツール、ブラウザユーティリティなどのカテゴリーにおいて、危険な動作をする広く配布されている多くの拡張機能が特定されました。これらの多くは数十万から数百万のユーザーを持っています。

これらの拡張機能の中には、Chrome用ポップアップブロッカー、Stylish、BlockSite block Websites、Stay Focused、SimilarWeb – Website traffic and SEO Checker、WOT: Website Security and Safety Checker、Smarty、Video Ad Blocker Plus for YouTube、Knowee AI、CrxMouse: Mouse Gesturesなどが含まれます。

研究者によれば、複数の拡張機能は広いホストの権限（ウェブサイト間）をリクエストしていました。これにより、ドメイン全体でナビゲーションイベントとページアクティビティを監視することができました。「拡張機能がページタイトルを読むだけであれば、またはCSSを注入しているだけであれば、訪問するURLの長さに関わらず、ネットワークフットプリントはフラットのままであるべきです」と、研究者はフラグを立てるしかないロジックを説明しています。

「アウトバウンドトラフィックがURLの長さに対して線形に増加する場合、拡張機能がURL自身（またはHTTPリクエスト全体）をリモートサーバに送信している可能性が高いです。」

暗号化された流出により検出が困難になった

研究者はブログ記事の中で、これらの拡張機能の複数が送信されたデータの性質を隠そうとしたと述べました。アウトバウンドペイロードは、自動検査を防ぐために、送信前に頻繁に暗号化またはエンコードされていました。

「キャプチャされたトラフィックの手動検査は、多様な難読化スキームを明らかにしました：base64、ROT47、LZ-String圧縮、およびRSA-OAEPでラップされた完全なAES-256暗号化」と、研究者は調査結果に関して公開された別のレポートの中で述べています。「これらのペイロードをデコードすると、生のGoogle検索URL、ページリファラー、ユーザーID、タイムスタンプが所有者ドメインおよびクラウドプロバイダーのエンドポイントのネットワークに送信されていることが明らかになりました。

研究者のテスト環境ではDockerコンテナ内でChromeを実行し、各拡張機能を一貫して分離および分析することができました。

「おそらく、ブラウザーの履歴をリークするすべての拡張機能に悪意があるとは限らないことに注意すべきです」と、研究者は、自動スキャナーでタグ付けされた拡張機能のログからいくつかの誤検知を手動で削除する必要があったと明らしています。「一部の拡張機能は良性であり、『Avast Online Security & Privacy』などの機能のためにブラウザー履歴を収集する必要があるかもしれません。」

公開には、これらの拡張機能の背後にあるChrome ウェブストアのURLと行為者のリストが参考用に含まれていました。