かつては信頼できるブラウザ拡張機能であったQuickLens(Google Lensラッパー)が、リモートコードを実行し、セキュリティヘッダーをバイパスし、悪質なスクリプトを注入するために悪用されました。
この事件は、特に正当なツールが不明な所有者に売却され、サイバー攻撃のために兵器化される場合、ブラウザ拡張機能のセキュリティに関連するリスクの深刻な警告となります。
元々、QuickLensはユーザーがスクリーンキャプチャと領域選択などの機能を備えた任意のウェブページでGoogle Lensを使用して視覚検索を実行することを許可していました。
7,000人以上のユーザーを持つこの拡張機能は、その機能で認識を得、ある時点ではGoogleから「おすすめ」バッジを獲得しました。
しかし、2026年2月17日にバージョン5.8がリリースされた後、悪質な転機が起こりました。ExtensionHubマーケットプレイスを通じて所有権が変わった後、拡張機能の新しい所有者は複数の懸念すべき更新を導入し、信頼できるツールをサイバー犯罪活動のプラットフォームに変えました。
更新は悪質なコードを追加し、重要なセキュリティ機能を削除し、隠密スクリプト注入を可能にしました。主な変更の1つは、新しいdeclarativeNetRequestルールを通じてcontent-security-policy(CSP)ヘッダーの変更でした。
このアクションは悪質なスクリプトが従来のセキュリティ防御(クロスサイトスクリプティング(XSS)フィルターとコンテンツセキュリティポリシーなど)をバイパスすることを可能にし、リモートコード実行とデータ流出への道を開きました。
更新の最も悪質な機能は、ユーザーが訪問したすべてのページに黙ってコードを注入して実行する能力でした。巧妙な手法は、画像ピクセル(1×1の透明GIF)を使用してonload属性を介して悪質なJavaScriptをロードしました。
すべてのレスポンスからCSPヘッダーが削除されたため、これらのペイロードはブラウザの組み込み防御によってブロックされることなく、任意のウェブサイト上で自由に実行できました。
この静かな攻撃チェーンは、攻撃者がセッショントークンの盗難、ユーザー入力のキャプチャ、および機密データの流出を含む様々な悪質な活動を実行することを許可しました。
コマンドアンドコントロール(C2)サーバーの使用はリスクをさらに増幅し、攻撃者はいつでも感染した拡張機能に新しい指示を発行することができるようになりました。
このエクスプロイトの成功の鍵は、その隠密実行にあります。悪質なコードは拡張機能のソースファイルの一部ではありませんでした。代わりに、ローカルストレージを通じて動的に配信され、従来のセキュリティツールが検出することを困難にしました。
拡張機能は、より広いアクセスを要求する単一のパーミッションプロンプトという唯一の目に見える変更を除いて、ほとんどのユーザーに対して正常に機能し続けました。7,000人の無防備なユーザーにとって、このアップデートは静かしかし危険な侵害を表していました。
ユーザーは拡張機能の正当な機能を信頼していましたが、攻撃は拡張機能サプライチェーンを悪用し、正当なツールが悪意のある行為者に売却され、彼らは単一の更新でそれを兵器化しました。
パーミッション監視があっても、そのような洗練された進化する攻撃を検出するのは困難だったでしょう。
ますますデジタル化する世界に向かう中で、ブラウザ拡張機能のセキュリティが最重要になります。
この侵害は、環境内のブラウザ拡張機能の厳格な監視、検査、およびリアルタイム分析の重要性の痛烈な警告となります。
企業と個人の両方にとって、この攻撃は、一見無害に見えるアップデートが信頼できるツールを深刻なセキュリティ脅威に変えることができる方法を示しています。
翻訳元: https://cyberpress.org/pixel-perfect-exploit-enables-injection/