何千ものChrome拡張機能が個人データを抽出する可能性があると研究が警告

何千もの Chrome 拡張機能には、機密情報を抽出するために必要な権限があります。米国のウィスコンシン大学マディソン校の研究者グループは、 Chrome ウェブストアのアドオンの 12.5% がパスワードやクレジット カード番号などの機密ユーザー データを収集できることを保証しています。

拡張機能は、新しい機能の追加、ページ コンテンツの変更、タスクの自動化によって Web ブラウザーの機能を強化し、ユーザー エクスペリエンスを向上させます。たとえば、アクセス データを管理したり、生産性ツールとして機能したり、広告のブロックに役立つものもあります。

これらの拡張機能は、Web サイトのコンテンツにアクセスして操作することで目的を達成します。 Google は、悪意のある攻撃者がこれらの機能を悪用して個人データを収集することを防ぐために、いくつかの規制を組み込みました。しかし、ウィスコンシン大学の研究者らは、一部のプラグインを使用すると、保護手段を回避して機密情報を抽出できる可能性があることを示しました。

研究責任者らの説明によると、大きな問題は、拡張機能が依然としてインターネットページのすべてのコンテンツを確認できることだという。多くのユーザーは、サイトのドキュメント オブジェクト モデル (DOM) ツリー (アクセス方法と使用方法を定義する構造) に無制限にアクセスできます。こうすることで、ユーザーがパスワードやクレジット カード番号を入力するテキスト ボックスにアクセスできるようになります。

彼らは悪意のある拡張機能を作成し、Chrome がそれを受け入れました

彼らの発言を証明するために、このグループは独自の悪意のある拡張機能を開発し、レビューのために Chrome ウェブストアにアップロードしました。プラグインを偽装するために、Web 上でChatGPTのような機能を提供する GPT ベースのアシスタントとしてプラグインを提示しました。すべてのページで実行する許可を要求しました。この拡張機能は Google Chrome ウェブストアでの検証プロセスを問題なく通過したと調査報告書は説明しています。

研究者グループは、一部の Google や Cloudflare ポータルを含む、世界で最も人気のある 1,000 以上の Web サイトが、ページの HTML ソース コード内にパスワードをプレーン テキストで保存していることを発見しました。さらに7,300 のサイトが DOM アクセスに対して脆弱です。

「ブラウザのパーミッションモデルが粗いため、プラグインとウェブページの間にセキュリティ境界が存在しない」と報告書は述べている。この制限がないため、プラグインは HTML 要素を自由に対話および操作できます。これにより、ユーザー入力を直接抽出できます。

実験が完了すると、すぐに拡張機能をウェブストアから削除しました。ユーザーが見つけてインストールできないように、常に「非公開」モードに保たれていました。

何千もの危険なアプリケーション

ウィスコンシン大学のグループは、Chrome ウェブストアで入手可能なすべての拡張機能もダウンロードしました。彼らは、これらのプラグインによって要求される機能と権限を分析しました。このようにして、全体の 12.5% が、発見された脆弱性を悪用するために必要な権限を持っていることが判明しました。拡張機能は約 17,000 あり、中には AdBlockPlus や Honey と同じくらい人気があり、 1,000 万人以上のユーザーがいます。

また、 190 個の拡張機能がパスワード フィールドに直接アクセスしていることも発見しました。これは、一部の開発者がすでにセキュリティのギャップを悪用しようとしていることを示唆しています。

攻撃者がテキストボックスなどのフィールドにアクセスしたり操作したりできる場合、「ユーザーの個人情報を盗んだり、ユーザーになりすましたり、金融詐欺を行ったりする可能性がある」と報告書は指摘している。また、このような脆弱性がないか Web サイトをスキャンするスクリプトや自動ボットによって、このデータが漏洩する可能性があると警告しています。