パスワードを忘れた? アカウント作成
13507962 story
Chrome

アンインストールを困難にする機能を備えたブラウザー拡張機能 21

ストーリー by headless
困難 部門より
Webブラウザーの拡張機能管理画面の表示を妨げ、削除されにくくするという拡張機能(マルウェア)が発見された(Malwarebytes Labsの記事Ars Technicaの記事)。

Google Chrome向けの拡張機能「Tiempo en colombia en vivo」は、複数のYouTube動画を勝手に開き、クリックして再生回数を水増しするというものだ。Malwarebytesによれば、この拡張機能をインストールすると拡張機能管理画面「chrome://extensions/」へのアクセスが「chrome://apps/?r=extensions」にリダイレクトされるという。

Chromeはコマンドラインスイッチ「--disable-extensions」を付けて起動することで拡張機能を無効にできるが、この状態では管理画面に拡張機能が一切表示されない。この拡張機能の.jsファイルをリネームすることで削除可能になるようだが、Malwarebytesでは無料版のMalwarebytesアプリケーションによる削除を推奨している。「Tiempo en colombia en vivo」はGoogleのChrome Webストアで公開されていたが、別のWebサイトから強制的に拡張機能を追加させる方法でインストール回数を増やしていたようだ。

同様にFirefoxからの削除を妨げる拡張機能は「FF Helper Protection」「FF Antivirus」などの名称で表示され、Web検索を乗っ取るといった活動をするようだ。こちらは拡張機能管理画面「about:addons」への移動を監視し、一致するとタブを閉じることで削除を妨げる。Firefoxの場合はセーフモードで起動することで削除可能なので、対策は比較的容易だ。この拡張機能はサードパーティのWebサイトでホストされており、Web広告を通じてFirefoxの手動アップデートが必要といった偽の通知を表示し、ユーザーをだましてインストールさせるとのことだ。

これとは別に、最近Chrome Webストアではマルウェアを含む拡張機能が4本見つかっており、うち1本は50万回以上インストールされていたという。またArs TechnicaのDan Goodin氏によれば、Chrome Webストアで公開されていた別のマルウェアを含む拡張機能が知人のWebサイトを連絡先として勝手に登録していたそうだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年01月21日 19時26分 (#3348471)

    Jwordとかあったよね。本体をアンインストールしても使ってるモジュールはPCに残り続けるとか。(もっと酷いのでCCCD絡みの云々があったけど、あれはブラウザとは直接関係ないか)

    あと酷かったのはQuickTime。
    当時のIE標準だとメディアファイル(.wavや.mid、.mp3等)を再生したとき、Windows Media Playerが埋め込み(またはスタンドアロン)で起動してくれて、そこから「名前をつけて保存」でローカルに保存できた。
    ところがQuickTimeを入れると、インストール時のオプションで「ファイルの関連付けを変更しない」を明示的に選んでいてもバグだか仕様だか、ブラウザ上でのプラグインは強制的に上書かれる挙動だった。それだけならまだしも、従来のWindows Media Playerでできた「名前をつけて保存」は、QuickTime Pro(有償版)じゃないとできねーよ、とロックされた。.wavや.mid等、QuickTimeを本来は必要とせずに再生できるファイルまで。つまりQuickTimeが「Windowsの標準でできた機能にロックかけて有償版を要求する」という挙動をしていたわけ。
    そして頑張って手動で関連付けを直しても(ちなみにレジストリを変な弄られ方するので、WindowsのGUIから修正はできず、レジストリ書き換える必要があった)QuickTimeのバージョンアップ等で容赦なくリセットかましていく。
    挙げ句の果てに、業を煮やしてQuickTimeをアンインストールする(これまた不自然なアンインストーラーだったが)と、もれなく関連付けをぶっ壊していくので、手動で再設定する必要があった徹底ぶり。
    ランサムウェアの手本として教科書に載せてもいいじゃないかって挙動だったなぁ、とか。

    # 確かWindows2000とかの頃に苦しめられた記憶があって歳がバレるのでAC

    • by haugle68k (48167) on 2018年01月22日 21時56分 (#3349046)
      Hao123体操~
      親コメント
    • by Anonymous Coward

      ある意味、今のMS Edgeがなかなか一般開発者に拡張機能作成・登録を開放しない理由なのかも…。

      # なお、Win10側の挙動により一部設定が書き換えられる模様。

      • by Anonymous Coward

        ストアに登録するだけじゃないの?

      • by Anonymous Coward

        亡霊ActiveXを再び生み出すわけにはいかないのです

      • by Anonymous Coward

        解放はされてるよ
        ユーザが少なすぎてメリットないので積極的に移植する開発者が少ないだけです

    • by Anonymous Coward

      QTとういかAppleのアプリは仲間を呼び集めるので更にたちが悪いですよね。

      • by Anonymous Coward

        つうか「Macは安定」を謳いたいためにWindows版はQuickTimeにせよiTunesにせよわざと
        メチャクチャな組み方をしてるとしか思えない。

  • by Anonymous Coward on 2018年01月21日 22時57分 (#3348528)

    昔はFirefoxでNoscript、TabMix、クリック辞書、ジェスチャーなどを入れていたが、
    Quantumにしたとき、ふと権限ををみてみたら大半の拡張機能が
    全サイトの全データに作者がアクセスできるようになっていた。

    GoogleやMozilla財団は一応信用するが、どこの誰かわからない人に
    メールアカウントや銀行口座など乗っ取れる権限を与えるのはありえないと思って
    メインで使うブラウザの拡張機能はブラウザー作成者のオフィシャルのものだけにした

    GoogleやMozilla財団は拡張機能の権限についてどう考えているのだろう

    • by Anonymous Coward

      Firefoxのレガシーアドオンはそれよりはるかに強い権限を持ってたよ。最低でもその程度の権限がなきゃまともなアドオンは作れないってこと。

    • by Anonymous Coward

      開発する側だと、昔は色々できて面白かったんだけどな。最近は制限ばかりでアイデアの実装がうまくいかずつまらない

      • by Anonymous Coward

        生TCPソケットをなんでそんなに危険視するのか判らんよ…>最近の制限

    • by Anonymous Coward

      自動アップデートがウィルス注入自殺装置なだけで、安全が確認されているアドオンを改変を許さないまま使い続ける分には安全だぞ

  • by Anonymous Coward on 2018年01月21日 18時54分 (#3348460)

    拡張のURLにアクセスできないようにするのは chrome.webRequest.onBeforeRequest.addListener を使えば簡単に作れるね。
    本来は普通にリダイレクトしたりアドブロックを作るのに使うものだけど、こんな用途に使えるなんて。ちょっと関心した。

    • by Anonymous Coward

      こんな特別はアドレスまでトラップできるのは問題だろ

  • これ前に使ってた拡張機能がスクリプトで見えてただけとかでもない?

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...