推定3,700万個のグローバルでインストールされたChrome拡張機能が、ユーザーの閲覧履歴を外部サーバーに送信している。
2lttgamingroom – shutterstock.com
「Q Continuum」というペンネームのセキュリティ研究者が、閲覧履歴を流出させる287個のChrome拡張機能を発見した。「漏洩の背後にいる行為者は多様である:Similarweb、Curly Doggo、Offidocs、中国の行為者、多くの小規模で不明なデータブローカー、そしてSimilarwebの子会社であるとみられる「Big Star Labs」という謎の企業」と調査報告書に記載されている。
この分析のために、研究者は自動パイプラインを開発し、Chromeインスタンスを起動し、拡張機能をインストールし、あらかじめ定義されたウェブサイトのセットにアクセスし、外向きの通信をキャプチャした。
彼は、このようなデータ収集が従業員がアクセスする内部企業URLを公開することによって企業スパイ行為を可能にする可能性があることを警告した。拡張機能がクッキーもキャプチャする場合、攻撃者にアクティブなウェブセッションの詳細を提供することで、ログイン認証情報の収集を容易にする可能性がある。
この調査では、VPN/プロキシサービス、クーポン検索、PDFツール、ブラウザユーティリティなどのカテゴリで危険な動作をしている多くの広く使用されている拡張機能が特定された。これらの多くは数十万人または数百万人のユーザーを持っている。
これらの拡張機能のいくつかはChromeのポップアップブロッカーである。その中にはStylish、BlockSite block Websites、Stay Focused、SimilarWebがある。ウェブサイトトラフィックとSEOチェッカー、WOT:ウェブサイトセキュリティおよびセーフティチェッカー、Smarty、YouTube用Video Ad Blocker Plus、Knowee AI、CrxMouse:マウスジェスチャー。
研究者によると、複数の拡張機能が包括的なホスト権限(ウェブサイト間)をリクエストしました。これにより、彼らはナビゲーションイベントとページアクティビティをドメイン間で監視できました。「拡張機能がページのタイトルを読み込んだり、CSSを挿入したりするだけの場合、ネットワークフットプリントは、当社が訪問したURLの長さに関係なく同じである必要があります」と彼は、彼の投稿でこの論理を説明しています。
「外向きのデータトラフィックがURL長に線形で増加する場合、拡張機能がURL自体(またはHTTP要求全体)をリモートサーバーに送信している可能性が高い」と専門家は付け加えた。
暗号化された流出が検出を困難にした
さらに、これらの拡張機能の多くが送信されるデータのタイプを隠そうとしたと彼は指摘しています。それに応じて、発信ペイロードは転送前に暗号化またはエンコードされることが多く、自動検証を防止していました。
「キャプチャされたトラフィックの手動検査により、様々な難読化技術が明らかになった:Base64、ROT47、LZ文字列圧縮、およびRSA-OAEPにパックされた完全なAES-256暗号化」と研究者は別の報告書で説明しています。「これらのペイロードを復号化すると、生のGoogleサーチURL、ページリファラ、ユーザーID、およびタイムスタンプが、独自のドメインとクラウドプロバイダーのエンドポイントのネットワークに送信されていることが明らかになりました。
研究者のテスト環境はDockerコンテナでChromeを実行し、各拡張機能を独立してかつ一貫性をもって分析することができました。
ただし、セキュリティ専門家は、閲覧履歴を公開しているすべての拡張機能が悪意のある意図を持っているとは限らないことを認めました。彼はまた、自動スキャナによってマークされた拡張機能のログから手動で誤検知を削除する必要があったことを明確にしました。「一部の拡張機能は無害である可能性があり、「Avast Online Security & Privacy」などの機能のために閲覧履歴をキャプチャする必要があります。」
開示報告書には、参照としてのChrome Webストアから参考資料へのURLと、これらの拡張機能の背後にある行為者のリストが含まれていた。(jm)
