閉じる
メニュー

お気に入りのブラウザ拡張機能がパスワードを盗んでいる可能性があります

重要なポイント

  • Chromeウェブストアの拡張機能の大部分には、悪意のある目的で悪用される可能性のある危険な権限が必要です。
  • すべてのWebブラウザーは、わがままな拡張機能の問題に取り組んでいます。
  • GoogleのマニフェストV3は、いくつかの問題に取り組むが、拡張機能で利用可能な権限を支配することはほとんどない、そのようなソリューションの1つです。
0と1の背景にあるロック画像のフィールド。

NicoElNino /ゲッティイメージズ

入力したものすべてを読み取って分析するためのアクセス許可を要求するスペルチェックブラウザ拡張機能を覚えていますか? サイバーセキュリティの専門家は、一部の拡張機能が、Webブラウザに入力したパスワードを盗むためにあなたの同意を悪用している可能性が高いと警告しています。

ユーザーがWeb拡張機能の危険性を理解できるように、デジタルセキュリティ会社のTalon 分析しました Chromeウェブストアは、何万もの拡張機能が心配な権限にアクセスできることを報告しています。 訪問したすべてのサイトのデータを変更したり、ファイルをダウンロードしたり、ダウンロードアクティビティにアクセスしたりする機能など。 もっと。

「多くの人気のある拡張機能はユーザーを危険にさらします」の共同創設者兼CTO タロンサイバーセキュリティオハド・ボブロフ メールでLifewireに説明しました。 「[さらに]良性の拡張機能は、コードまたはサプライチェーンに脆弱性があり、悪意のある攻撃者による乗っ取りの影響を受けやすい可能性があります。」

わがままな拡張機能

ブラウザのURLフィールドのクローズアップ

skylarvision / 32画像/ Pixabay

Talonは、拡張機能はユーザーに大きな価値を提供し、広告ブロック、スペルチェック、パスワード管理などの多くの便利な機能をWebブラウザーにもたらすと主張しています。 ただし、これらの機能を提供するために、拡張機能には、ブラウザー、その動作、およびアクセスしたWebサイトを変更するための幅広いアクセス許可が必要です。

「当然、このレベルの制御とサードパーティのアクターからのアクセスは、ユーザーに重大なセキュリティとプライバシーの脅威をもたらす可能性があります」とTalon氏は説明します。

同社は、Googleの審査プロセスにもかかわらず、多くの悪意のある拡張機能がギャップをすり抜けて、悪影響を及ぼしてしまうと付け加えています。

数百万人のユーザー. その分析により、Chromeウェブストアのすべての拡張機能の60%以上が、ユーザーデータとアクティビティを読み取ったり変更したりする権限を持っていることが明らかになりました。

たとえば、Talonによると、スペルチェックと文法チェッカーは、ユーザーのテキストを分析するためにWebページのコンテキストから実行されるスクリプトを挿入する許可を要求します。 これは通常、入力フィールドを検査するか、他の方法でユーザーのキーストロークを記録することによって行われます。 同社によれば、これにより、拡張機能は、次のようなWebページ上の情報を効果的に収集して盗み出すことができます。 パスワードおよびその他の機密データ.

次に、広告ブロックがあります。これは、Chromeウェブストアの上位の拡張機能の一部を構成しています。 この機能には、ページから要素を削除することが含まれ、スペルチェッカーと同じ権限が必要です。

「どのデータが盗まれたかは不明ですが、パスワードを含め、どのページからでも何でも盗まれる可能性があります。」

同様に、画面共有に付与された権限、および目的のタスクを実行するためのビデオ会議拡張機能も、ユーザーの画面と音声をキャプチャするために悪用される可能性があります。

"二 脆弱性 で発見されました uBlock Origin 過去数か月で、攻撃者は拡張機能の許可を悪用してすべてのサイトのデータを読み取ったり変更したり、機密性の高いユーザー情報を盗んだりすることができました」とボブロフ氏は語っています。

「uBlockOriginのような広告ブロッカーは非常に人気があり、通常、ユーザーがアクセスするすべてのページにアクセスできます。 舞台裏では、コミュニティが提供するフィルターリスト(ブロックする要素を指示するCSSセレクター)を利用しています。 これらのリストは完全に信頼されているわけではないため、悪意のあるルールがユーザーデータを盗むのを防ぐように制約されています。」 書きました セキュリティ研究者のGarethHeyesは、拡張機能の脆弱性を使用してパスワードを盗むことを実証しました。

ボブロフはまた、2019年に人気のあることを共有しました グレートサスペンダー 200万人を超えるユーザーがいる拡張機能は、悪意のある攻撃者によって購入されました。悪意のある攻撃者は、その権限を悪用してスクリプトを挿入し、レビューされていないリモートでホストされているコードをWebページで実行しました。

「どのデータが盗まれたのかは不明ですが、パスワードを含め、どのページからでも何でも盗まれる可能性があります」と彼は言いました。

本当の解決策はありません

モニターとウェブブラウザのクローズアップ

リッチーグレート/アンスプラッシュ

ボブロフ氏によると、Chromeと他のほとんどすべての主要なWebブラウザーは、 審査プロセスを改善するだけでなく、 拡張機能。

ボブロフが指摘するそのような最近のステップの1つは、Googleの マニフェストV3. 彼は、平均的なユーザーにとって、マニフェストV3がもたらす最も顕著な違いは 拡張機能は、リモートでホストされるコードの完全な禁止であり、拡張機能がWebを変更する方法の変化です リクエスト。 ただし、マイナス面として、マニフェストV3は広告ブロッカーを大幅に妨害していると批判されていると彼は付け加えています。

「最も重要な傾向は、セキュリティギャップを埋め、エンドユーザーの可視性と制御を向上させることです。 (たとえば、拡張機能の実行を許可するサイト)、およびレビューできないコードを拡張機能から禁止する」とボブロフ氏 言った。 「これらの変更の一部は、GoogleのマニフェストV3に含まれています。 ただし、これらの変更によって、拡張機能で利用できる権限が大幅に変わることはありません。」