概要

セキュリティ調査によると、287 の Chrome エクステンションが秘密裏にユーザーのブラウジングデータを遠隔サーバーへ送信していることが明らかになりました。これらのエクステンションは、全世界の Chrome ユーザーの約 1%、つまり推定 3740万インストール分の影響を受けているとされています。

調査方法

研究チームは、「スパイ」行為を大規模に検出するための自動化されたテストパイプラインを作成しました。このプロセスでは、Chrome を Docker コンテナ内に実行し、すべてのブラウザトラフィックを MITM プロキシを通じてルーティングし、特定のウェブアドレスを訪問することで漏洩パターンを明らかにする手法が使用されました。

検出基準

研究チームは、エクステンションが本当に何をしているかに焦点を当てました。例えば、テーマを変更したりタブを管理するだけの無害なエクステンションの場合、URL の長さに関わらずアウトバウンドトラフィックが増えないはずです。

結果と分析

研究チームは、これらのエクステンションが送信するデータ量を測定し、「漏洩」の可能性を評価しました。具体的には、R ≥ 1.0 の場合に「確実な漏洩」と判断され、0.1 ≤ R < 1.0 の場合は手動レビューが必要とされました。

影響範囲

これらのデータ収集者は、Similarweb や「Big Star Labs」などの有名な分析やデータブローカーから、小さな不明確なアクターまで多岐にわたります。漏洩された URL には個人識別子、パスワードリセットリンク、ドキュメント名、内部管理パスなどが含まれる可能性があり、これがターゲット攻撃の有用な手がかりとなる場合があります。

ユーザーへの対策

• 認識できないエクステンションや使用していないエクステンションを削除する
• 有名なパブリッシャーのエクステンションを選択し、プライバシーポリシーを確認する
• エクステンションの権限（特に「ウェブサイトを訪問したときにすべてのデータを読み取りおよび変更」）をレビューする
• インストール後、異常なネットワーク活動やブラウザの遅延に注意する
• 組織では、管理者ポリシーでエクステンションのインストールを制限し、検証済みの追加機能のみを許可する

元記事: https://gbhackers.com/287-malicious-chrome-extensions-steal-browsing-data/