Googleは、合わせて140万回以上ダウンロードされた5つの悪意のあるブラウザ拡張機能をChromeウェブストアから削除した。
マカフィーの脅威アナリストは、Netflix 視聴者などを装ったこれらのブラウザ拡張機能が、ユーザーの閲覧活動を密かに監視するように設計されていることを発見しました。
問題の Chrome ブラウザ アドオンは次のとおりです。
- Netflix パーティー(mmnbenehknklpbendgmgngeaignppnbe) – 800,000 ダウンロード
- Netflix パーティー 2(flijfnhifgdcbhglkneplegafminjnhn) – 300,000 ダウンロード
- FlipShope – 価格トラッカー拡張機能(adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 ダウンロード
- 全ページのスクリーンショットのキャプチャ– スクリーンショット (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 ダウンロード
- AutoBuy フラッシュセール(gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 ダウンロード
これらの拡張機能は、ユーザーが Netflix 番組を一緒に視聴できるようにする、Web サイトのクーポン、Web サイトのスクリーンショットを撮るなど、さまざまな機能を提供しました。後者は、GoFullPage と呼ばれる別の人気のある拡張機能からいくつかのフレーズを借用しました。
拡張機能は、意図した機能を提供するだけでなく、ユーザーの閲覧アクティビティも追跡しました。マカフィーによると、ユーザーが訪問したすべての Web サイトは、拡張機能の作成者が所有するサーバーに送信され、訪問中の e コマース Web サイトにコードを挿入できるようになりました。このアクションにより、サイト上の Cookie が変更され、拡張機能の作成者が購入したアイテムのアフィリエイト支払いを受け取ることができるようになりました。
「拡張機能のユーザーは、この機能と、アクセスしたすべてのサイトが拡張機能作成者のサーバーに送信されるというプライバシー リスクに気づいていません」とマカフィーの研究者は述べています。書きました彼らのブログ投稿で。
拡張機能はどのように機能しましたか?
5 つの拡張機能はすべて同様の動作を実行します。 Web アプリのマニフェスト (「manifest.json」ファイル) は、背景ページを bg.html として設定します。これは、攻撃者が制御するドメイン (「langhort[.]com」) に閲覧データを送信する B0.js (多機能スクリプト) をロードします。 。
ユーザーが新しい URL にアクセスするたびに、データは POST リクエストを通じて配信されます。この情報には、base64 形式の URL、ユーザー ID、デバイスの場所 (国、都市、郵便番号)、およびエンコードされた参照 URL が含まれます。
URL を受信すると、langhort.com はアフィリエイト ID を持つ Web サイトのリストのエントリを照合し、一致する場合、サーバーは 2 つの可能な関数のうち 1 つで B0.js に応答します。
最初の関数は「Result['c'] – passf_url」で、クエリが URL で応答したかどうかを確認します。存在する場合、サーバーから受信した URL が、訪問した Web サイト上の Iframe として挿入されます。
2 番目の関数「Result['e'] setCookie」は、拡張機能に関連するアクセス許可が付与されている場合、特定のアクションを実行するために Cookie を変更するか、提供されたものに置き換えるよう B0.js に命令します。
マカフィーは、URL と Cookie の変更がリアルタイムでどのように行われるかを紹介するビデオも公開しています。
分析を回避し、自動分析環境で悪意のあるアクティビティが特定されるのを防ぐために、一部の拡張機能は、ブラウザーアクティビティの送信を開始する前に危険信号が立てられるのを避けるために、インストール時から 15 日間の遅延を備えていました。
この記事の執筆時点では、5 つの悪意のある Chrome 拡張機能はすべて Google Play ストアから削除されています。ただし、Web ブラウザからは削除されません。したがって、ユーザーはデバイスからこれらを手動でアンインストールすることをお勧めします。
