Chrome拡張機能のNano Defenderがマルウェア化 27
変化 部門より
Chrome拡張機能のNano DefenderとNano Adblockerが悪意ある者に売却され、マルウェア化してしまったようだ(元の開発者によるプロジェクト譲渡に関するアナウンス、 280blockerの記事[1]、 [2]、 gHacksの記事)。
Firefox用Nano DefenderとNano Adblockerは大丈夫みたい。
有名拡張が買収で…といえばStylishを思い出した。uBlockも委譲されたかと思ったら結局元の開発者がuBlock Originを立ち上げていたな。
元の開発者はNanoプロジェクトに割り当てる時間がなくなってバックログがたまり続けたためメインテナーを探しており、新しい開発者から申し出がなければ開発停止をアナウンスする計画だったという。金銭的なやりとりはあったようだが、新しい開発者がいい仕事をすれば寄付の形で大半を返金することも考えていたそうだ。
Nanoプロジェクトのフォーク元であるuBlock Origin開発者のRaymond Hill(gorhill)が更新後の拡張機能を分析した結果、拡張機能読み込み時にhttps://def.dev-nano.com/からリストを取得し、リストで指定された条件に一致するネットワークリクエストがあると情報をhttps://def.dev-nano.com/に送信するコードなどが追加されていたという。
なお、新しい開発者のGitHubアカウントは既に削除されており、Nano DefenderおよびNano AdblockerはChromeウェブストアから削除されている。Microsoft Edgeのアドオンストアに関しては元の開発者がアカウントを維持しており、ストアで表示されないようにしたと説明しているが、現在のところ削除はされていないようだ。
これは困ったなぁ (スコア:2)
今はもう Google Chrome は使っていなくて、新しい Microsoft Edge だから直ちに影響はないのだけど、uBlock Origin + Nano Defender の組み合わせで使ってきたから、開発終了は本当に困る。
Anti-Adblock Killer の頃からアンチ アドブロック ディフューザーのお世話になってきた。今更アドブロックを無効化しなければページの内容は読ませない云々のゲームに付き合いたくはないんだ。
最近、謎のnano推し散見 (スコア:0)
そういう事だったのか
ublock使用者にも追加でnano入れるの有効ですよみたいなのとか
Re: (スコア:0)
最近というか、ちょっと前はそういう話があった。
じっさい、こうかもあった。
最近は古くなってるからいれるなになっていたよ。
Re: (スコア:0)
で、メンテ引き継いでくれるって相手が現れたので引き継いだ、
なんなら今まで得てきた寄付金も渡すつもりだった。
金の為にユーザの安全を売り払った訳じゃない。
こんなことになるとは思わなかった。
というのが作者の言い訳。
金を得てないってホントかねぇ……だいぶ疑わしいわ。
機能拡張の譲渡でマルウェア化ってまま聞く話なのに、
よりにもよってAdblockみたいな業界の開発者が想定しないってどういう事だよと。
Re: (スコア:0)
「つもり」なんていくらでも積めるからなあ
叩く側は邪推を押し付け、釈明する側はifで防衛
この応酬っていつも本当に非効率だわな
Re: (スコア:0)
いやいや、金はもろたって作者本人も言ってるよ
寄付云々は「その後上手くやってくれたらその金の大半を寄付として返そうと思っていた」って話とごっちゃにしてないか
Re: (スコア:0)
> 金銭的なやりとりはあったようだが、新しい開発者がいい仕事をすれば寄付の形で大半を返金することも考えていたそうだ。
タレコミにも金をもらったって書いてあるのにね。
Re: (スコア:0)
大本の方で話を読んでたのでストーリーは読み飛ばしてたんだすまん。
そして大本の方も全部のコメントは読んでなかったので把握してなかった。
金貰った上でのあの言動だったのか……ますます無茶苦茶だ。
Re: (スコア:0, すばらしい洞察)
理解もせずに叩いていたお前が一番無茶苦茶だと自覚してる?どのツラ下げて人を批判してるんだ。
ブラウンザーの拡張機能の根本的な欠陥だよ (スコア:0)
ユーザーの銀行口座をすっからかんにできる権限を見ず知らずの第三者に与えるという仕組みがそもそもの間違い
その権限を与えても大丈夫なのは、Mozilla Foundation、Google、Microsoft、Apple くらい
Re: (スコア:0)
マカー「信者ってこわーい」
Re: (スコア:0)
セキュアブートを実装して署名してるとこだね。まあ信じるしかない。
Re: (スコア:0)
ゲームのMODとか調べたらもっとヤバいのがいっぱいありそう
Re: (スコア:0)
Adblock Plusみたいな問題もあるのでそれすら大丈夫とは言い切れない現実
そのうち契約に (スコア:0)
「悪いことをしたらオシオキ」条件を入れる事になるかもね。
Re: (スコア:0)
悪いことしたら首輪が爆発するとか?
Re: (スコア:0)
3人乗りの自転車で逃げるんですね
Re: (スコア:0)
権利とかアカウントごと寄越せと言ってくる奴なんてマルウェア化しなかったとしても有償化して劣化させることは目に見えてるんだから全部断れ
熱帯低気圧から台風になりました!感 (スコア:0)
twitterで検索するとちらほら"昨日アップデートされ、マルウェアになりました"
ってあってジワジワくる
広告ブロックフィルター日本人貢献者による解説 (スコア:0)
広告ブロック FAQ [github.com]
4. Nano Adblocker(+ Nano Defender)の方がよいと聞きました。
2020年10月17日追記:Nanoプロジェクト(Chrome版)はトルコの開発者に売却され [github.com]、危険な機能が追加されたためストアから削除されました [github.com]。ChromeでNanoをご利用の方は速やかにアンインストールしてください。Firefox版は別の方がメンテナンスしているため大丈夫です。
目的と使い方によります。もし、アンチ広告ブロックを念頭に置いておられるのなら、uBlock Originで十分です。現在、Nanoに報告されるすべてのアンチ広告ブロックはuBlock filtersかuBlock filters - Annoyancesにて対処されています。ただ、Nanoではコンテンツを妨害しないソフトアンチブロック(例:Outlook.com無料版で右側に出る「お願い」)もデフォルトで対処するのに対し、uBlock Originの場合はuBlock filters - Annoyancesの購読が必要になります。Nanoの最大の利点は強力だがリスクもあるスクリプトレットで一部の迷惑要素に対処できる点ですが4、Nano filters - Annoyancesはほぼ海外向けです。日本語サイトを中心に見る人は、自分でルールを書くのでなければNanoを使うメリットはほぼありません。むしろ最新機能への追随が遅れることがあり5、使うフィルタによってはデメリットさえあります。ただ、NanoにはQuick reporterという問題報告ツールがあり、これは別の意味で大きなメリットといえます。ところで、アンチ広告ブロックは目立つため、初心者の方にはなにか特別な対処を要するものに思えてしまうのかもしれません。しかしこれは評判が悪かったため、近年増えてきているのはブロッカーを検知してそれを迂回する広告を再挿入するパターンです(これもあまり成功していないようです。広告を見たくない人に無理やり見せるのだから当然ですが)。
4: スクリプトレットにはもともとリスクがありますが、uBlock Originではあらかじめハードコードされたスクリプトのみを使うようにしてリスクを抑えています。この点はNanoも同じです。では何が違うかというと、uBlock Originの組込みスクリプトは最悪でもページの外見や機能を壊すくらいしかできないのに対し、Nanoのスクリプトにはたとえばクリックをシミュレーションするものがあり、これを使ったフィルタの存在を知っている攻撃者が対象サイトを乗っ取れば、マルウェアのリンクを自動クリックさせることもできます。ショッピングサイトなどであればもっと直接的な悪用もできるでしょう。このため、uBlock Originではこれらのスクリプトが広告やアンチ広告ブロックへの対処にどうしても必要となるまでは採用しないと決めています。
5: DandelionSprout氏によると、domainオプションのワイルドカードサポートへの対応遅れが問題となったようです。
5. スパイウェア化した、Nano Defenderの代わりはありますか?
4.で述べたように、適切なフィルタを使用していればそもそもいらないと思います。uBlock Originに戻したことでアンチ広告ブロックが出るようになったという人は十中八九、フィルタ選択を間違えていると疑われます。まず、uBlock filtersが有効なことを確認し、それからほかのフィルタについても過剰購読などないか見直してみてください。また、アンチ広告ブロックのテストページはuBlock filtersの対象外です。雪フィルタでも対象外としていましたが、初心者の混乱を避けるため対応してみました(未対応のテストページをご存じの方は教えてください)。テストページでブロッカーが検知されるからと言って、アンチ広告ブロック対策がされていないと早合点しないでください。それでもアンチ広告ブロックに遭遇してしまった場合6、フィルタ作者に報告してください [reddit.com]。予防的な対処がしたいのであれば、一番簡単で効果的なのは「汎用的な要素隠蔽フィルターを無視する」にチェックを入れることです。ただし広告枠やテキスト広告、一部ポップアップが隠し切れなくなるなど副作用もあります。どうしても標準のリストと日本用フィルタ以外にフィルタを追加したいのであれば、せいぜいAdGuard Baseくらいでしょう。まれにuBlock filters未対応のアンチ広告ブロックに対応している場合もあります。ただし、それなりに不具合もありまし、逆にアンチブロックを起動してしまうこともあります。Fxxk Fxxkadblock(あえて伏字)は無駄が多く、作りもちょっと雑なためおすすめ
Re: (スコア:0)
引き継ぎの難しさですかねえ。
Re:Chrome自体が (スコア:2)
誤 Chrome自体が
正 Google自体が
Re:Chrome自体が (スコア:1)
Googleは「ウェア」じゃないよね。
Re: (スコア:0)
Don't Be Evil