パスワードを忘れた? アカウント作成
15171687 story
Chrome

Google、マルウェア化したChrome拡張機能をリモートから無効化 27

ストーリー by headless
無効 部門より
人気のChrome拡張機能「The Great Suspender」がマルウェア化し、GoogleはChromeウェブストアから削除するだけでなく、インストール済みの拡張機能をリモートから無効化したそうだ(Android Policeの記事The Vergeの記事Neowinの記事SlashGearの記事)。

The Great Suspenderは使用していないタブをサスペンドしてメモリ使用量を削減するオープンソースの拡張機能で、ソースコードはGitHubで公開されている。しかし、昨年6月に開発者が正体不明な新オーナーへのプロジェクト譲渡を発表し、10月にはGitHubでリリースされていない更新が公開されて怪しい動作をするようになったとの報告が出始める。この頃にはほぼマルウェア化確定との見方が広がっていたが、Googleは調査の結果問題なしとみなしていたようだ。

しかし、Googleは2月4日になって拡張機能の実行をブロックし、Chromeウェブストアからも削除する。これにより、ユーザーはサスペンドしていたタブを復元できなくなるトラブル(サスペンドしたタブのURLには元のURLが含まれるので、手作業で復元することは可能)にも見舞われることになった。

オープンソースのChrome拡張機能では昨年、Nano Defender/Nano Adblockerが新オーナーへ譲渡後にマルウェア化している。このケースも今回のThe Great Suspenderのケースと同様だが、長年プロジェクトを維持していた元の開発者が徐々に時間を取れなくなったことが譲渡の主な理由となっている。このようなケースは今後増えていくのだろうか。なお、昨年11月にMicrosoft Edgeアドオンサイトで人気拡張機能の偽物が複数発見された際、The Great Suspenderも含まれていたが、本件との関係は不明だ。
  • by Anonymous Coward on 2021年02月06日 17時52分 (#3973627)

    勝手に自動更新するのをやめりゃいいのに。
    せめて自動更新止める手段が欲しいわ。
    ローカルからインストールすりゃいいだけの話かもしれんが。

    ここに返信
    • 拡張に脆弱性があったとしても、脆弱性を悪用するウェブサイトにアクセスしない限り、基本問題ない。
      ところが、拡張がアップデートで悪意のあるマルウェア入りに入れ替えられたら、即悪用される。

      特に個人がやっているフリーソフトの拡張というのは、悪意のある企業の買収に弱い。
      作者が飽きてきたタイミング(更新頻度が少なくなってきたタイミングなど)に買収を持ち掛ければ簡単に買えてしまうからね。

      その手口でオートコンプリートされたECサイトやクレカやオンラインバンキングのアカウント情報などを簡単に奪えてしまうので
      数百万円で拡張を買収しても普通にペイしてしまう。

      ってことで自動更新は危険だから止めた方がいい。
      インストールするときは評判やら評価やらの情報を収集するが、その後は放置が基本だからいつの間にかマルウェアになって被害を受けてしまう。

      悪用する立場からすれば、拡張の脆弱性探して突くよりも、拡張自体にマルウェアを埋め込む(稀に開発者のアカウントを乗っ取る手口もあるが二要素認証もあるし開発者はフィッシング等に引っかかりにくいので買収が基本)方がよっぽど合理的でこの手口は今主流になっている。

    • by Anonymous Coward

      ローカルからインストールする機能は廃止されたでしょ
      おじいちゃんみたいな自称パワーユーザー(笑)が勝手に古いバージョンを使うと迷惑だから

      • by Anonymous Coward

        確かに安全な古いバージョン使われるとマルウェア仕込む側にとって迷惑ですよね

      • by Anonymous Coward

        過去にローカルから入れた拡張が削除されるわけじゃないので、古いバージョンに拡張入れてからアップデートでいける。

    • by Anonymous Coward

      chromium系は強制自動更新が広まってるからねぇ。
      firefoxみたいに通知のみがあればいいのに。

    • by Anonymous Coward

      もし既存製品にセキュリティに問題が見つかったら
      自動更新で助かることが多いでしょう
      もう何度も何度も問題あったからね

      どっちがより安全か、デフォルトは自動更新を有効にすべきだろうね
      まぁ今回はそれを悪用したけど、それは別の問題かと

  • by Anonymous Coward on 2021年02月06日 17時22分 (#3973614)

    1. ChromeウェブストアからChrome以外のChromium系ブラウザーにインストールした拡張機能はリモートから無効化できるのか。
    2. できない場合、それはChromeを避けて他のChromium系ブラウザーを使う理由になるか。それとも他のChromium系ブラウザーを避けてChromeを使う理由になるか。

    ここに返信
    • by Anonymous Coward

      2は意味ある問なのか?

  • by Anonymous Coward on 2021年02月06日 17時23分 (#3973615)

    don't Be Evil

    ここに返信
    • by Anonymous Coward

      「イービル」と「グーグル」は似てる
      ペットを愛玩と表現したり日本語は素晴らしいな

  • by Anonymous Coward on 2021年02月06日 17時26分 (#3973619)

    コミュニティ含めてあまり危険性は広まってなかったからな・・・どこまで読み取られていたのか被害内容が知りたいorz

    ここに返信
  • by Anonymous Coward on 2021年02月06日 19時30分 (#3973673)

    先月ごろ突然無効化されて何事かと思ったが、この流れなのかな。今みたらウェブストア自体から削除されてる・・・

    ここに返信
  • by Anonymous Coward on 2021年02月06日 21時35分 (#3973726)

    開発を引き継ぎたければ別作品として新規登録すればいい
    ついでだから、過去のバージョンと互換性を無くすのも禁止で

    ここに返信
    • by Anonymous Coward

      本体がevilになった時に対応出来ないから、それじゃ対策にならななくない?

      今まで出なかったけど収益化の為に広告が出るようになったら、ユーザーにとってはevilでも制作者にとってはそうじゃないから、そんなに簡単に白黒は付けられない。

    • by Anonymous Coward

      >開発を引き継ぎたければ別作品として新規登録すればいい

      それってサポートも切るって事だけど、理解してる?

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...