Google、140万回以上ダウンロードされた悪意のあるChrome拡張機能を削除

Googleは、合計で140万回以上ダウンロードされた5つの悪意のあるブラウザ拡張機能をChromeウェブストアから削除しました。

マカフィーの脅威分析者は、Netflix視聴者などを装ったこれらのブラウザ拡張機能が、ユーザーのブラウジング活動を密かに監視するように設計されていることを発見しました。

問題のChromeブラウザアドオンは以下の通りです：

• Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000ダウンロード

• Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000ダウンロード

• FlipShope – 価格追跡拡張機能 (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000ダウンロード

• 全ページスクリーンショットキャプチャ – スクリーンショット (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000ダウンロード

• AutoBuyフラッシュセール (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000ダウンロード

これらの拡張機能は、ユーザーがNetflixの番組を一緒に視聴したり、ウェブサイトのクーポンを利用したり、ウェブサイトのスクリーンショットを撮ったりするなど、さまざまな機能を提供していました。後者は、GoFullPageという別の人気拡張機能からいくつかのフレーズを借用していました。

意図された機能を提供するだけでなく、拡張機能はユーザーのブラウジング活動も追跡していました。マカフィーによると、ユーザーが訪れたすべてのウェブサイトは、拡張機能の作成者が所有するサーバーに送信され、訪問されているeコマースウェブサイトにコードを挿入できるようになっていました。このアクションは、サイト上のクッキーを変更し、拡張機能の著者が購入されたアイテムに対してアフィリエイト報酬を受け取ることを可能にしました。

「拡張機能のユーザーは、この機能と、訪問されるすべてのサイトが拡張機能の著者のサーバーに送信されることによるプライバシーリスクを認識していません」と、マカフィーの研究者はブログ投稿で述べています。

拡張機能はどのように機能したのか？

5つの拡張機能はすべて、類似の動作を行います。ウェブアプリのマニフェスト（「manifest.json」ファイル）は、背景ページをbg.htmlとして設定し、B0.js（多機能スクリプト）を読み込み、ブラウジングデータを攻撃者が制御するドメイン（「langhort[.]com」）に送信します。

データは、ユーザーが新しいURLを訪れるたびにPOSTリクエストを介して送信されます。情報には、base64形式のURL、ユーザーID、デバイスの位置情報（国、都市、郵便番号）、およびエンコードされたリファラルURLが含まれます。

URLを受信すると、langhort.comは、アフィリエイトIDを持つウェブサイトのリストにあるエントリと一致させ、もし一致すれば、サーバーはB0.jsに2つの可能な機能のいずれかで応答します。

最初の機能は、「Result[‘c’] – passf_url」で、クエリがURLで応答したかどうかを確認します。もしそうであれば、サーバーから受信したURLを訪問したウェブサイトにIFrameとして挿入します。

2番目の機能「Result[‘e’] setCookie」は、B0.jsにクッキーを変更するか、提供されたもので置き換えるように指示し、拡張機能に関連する権限が付与されている場合に特定のアクションを実行します。

マカフィーは、URLとクッキーの変更がリアルタイムでどのように行われるかを示すビデオも公開しています：

分析を回避し、悪意のある活動が自動分析環境で特定されるのを防ぐために、一部の拡張機能はインストールから15日の遅延を設けて、ブラウザ活動を送信し始める前に赤旗を上げないようにしていました。

執筆時点で、すべての5つの悪意のあるChrome拡張機能はGoogle Playストアから削除されています。しかし、これによりウェブブラウザから削除されるわけではありません。したがって、ユーザーはデバイスから手動でアンインストールすることを推奨されています。