分析: 2020年11月、ネットユーザーから「The Great Suspender」と呼ばれるChrome拡張機能が悪質である可能性があるという警告が出されました。当時、Googleはこれらの懸念を認識し、状況を調査していました。
The Registerは、プロジェクトの身元不明のメンテナーがその後、GitHub Issuesの投稿で指摘されていた疑わしい動作をせずに拡張機能を再提出したと理解しています。そのバージョン7.1.9は現在Chromeウェブストアで入手可能であり、Googleが問題解決済みと判断するほど安全であると推測されます。
しかし、広く使用されているこの拡張機能のようなプロジェクトが新しい所有者に移管されるときに、ソフトウェア コミュニティが信頼を移行する方法をまだ理解していないため、提起された懸念は実際には解決されていません。
200万人以上のユーザー数を誇る(ただしChromeウェブストアの統計は操作しやすいことで有名)アドオン「Great Suspender」は、2020年6月に開発者のDean Oemcke氏によって正体不明の人物に売却されました。取引条件は明らかにされていません。現在、このコードをホストしているGitHubアカウント「greatsuspender」には、拡張機能のChromeウェブストアページに記載されているサポートメールアドレス以外に、所有者の身元や連絡先に関する情報は一切提供されていません。
The Registerは現所有者と前所有者にメールで連絡を取ろうとしましたが、まだ返答がありません。この拡張機能は「使用していないタブを一時停止することで、コンピューターの動作をスムーズにする」と主張しています。
所有権の移行以降、アドオンの GitHub リポジトリには何十ものコード変更がコミットされており、少なくとも 2 つの新しいバージョン (7.1.8 と 7.1.9) が Chrome ウェブストアを通じてリリースされ、ユーザーに自動的に配布されていますが、この動作はバグであると考える人もいます。
しかし、これらのリリースはプロジェクトリポジトリには記載されておらず、最新の公式リリースは依然として7.1.6のようです。それ以降に行われた個々のgitコミットを確認し、少し調べれば7.1.8と7.1.9に何が含まれているのかを推測することは可能です。通常、開発者は新しいバージョンの内容をリポジトリの公開リリースノートにまとめ、コードにどのような変更が加えられたかをユーザーが理解できるようにします。
Great Suspender の問題は、オープンソースの分析パッケージである Open Web Analytics (OWA) をリモート スクリプトおよび CDN と組み合わせて使用したことにあったようです。ユーザー情報が盗み出されるのではないかという懸念がありました。
あるユーザーは、「この拡張機能は正体不明の第三者に販売されました。この第三者は、Githubに変更内容を公開することなく、拡張機能をバージョン7.1.8に『アップデート』しました。リモートスクリプトを呼び出し、リモートトラッキング分析機能を使用して、ユーザーの知らないうちにユーザー情報をどこかに送信しています」と書いています。
現在のバージョン (v7.1.9) には問題のスクリプトは含まれていません。これは、v.7.1.8 が Microsoft Edge によってブロックされた結果である可能性があります。
しかし、これはウェブ上で蔓延しているプライバシー侵害の域をはるかに超える問題である可能性があります。他のインターネットユーザーは、この拡張機能コードの一部が、マルウェアや暗号通貨マイニングに関連する他の拡張機能と類似していると主張しています。
Google Chromeの広告ブロッカーとブラウザ拡張機能の取り締まり「Manifest v3」がベータ版で利用可能に
続きを読む
The Registerは、Primcloudというホスティングプラットフォームの開発に携わるジョシュ・マンダーズ氏に、なぜこの拡張機能について懸念を表明したのかを尋ねた。マンダーズ氏は、具体的な悪意ある行為は確認されていないものの、新しい所有者が沈黙を守り、それ以降の変更点はリポジトリには記載されていない形で新しい分析トラッキングコードを追加しただけであることは、非常に疑わしいと説明した。
マンダーズ氏は、この拡張機能と関連するインターネットドメインを調査した結果、購入されマルウェアに置き換えられた他の拡張機能へのリンクを多数発見したと述べた。同氏は、所有者はオンラインでの論争が沈静化するのを待ち、さらなる変更を加えてコードを改ざんしようとしているのではないかと見ている。
この獲得と破壊の脅威モデルは、Nano Adblocker などのオープンソース プロジェクトで以前にも見られました。
開発者の Thibaud Colas 氏は月曜日に拡張機能のコードを分析し、削除された OWA 追跡スクリプトに別の拡張機能に属するハードコードされた siteId が含まれているなど、いくつかの矛盾点に気付いた後、同様の結論に達しました。
「現在これらのドメインで配信されているスクリプトは、無害な Open Web Analytics トラッカー スクリプトのように見えます」と Colas 氏は言う。
「無害なスクリプトを厳選して配信し、時折、より悪質なペイロードに切り替えている可能性は十分にあります。あるいは、単に追跡機能を追加しているだけかもしれません。他の拡張機能との関連性から判断すると、TGSも最終的には同様のビジネスモデルに移行するでしょう。つまり、ユーザーが離れるまで目立たないようにし、方向転換に気づかないまま残ったユーザーから利益を得るというモデルです。」
火曜日に彼は評価を改め、現在削除されているOWAスクリプトは「Open Web Analyticsではなく、それを装った別のアプリケーションだ」と指摘した。これは一般的に良い兆候ではない。
The RegisterはGoogleに対し、Chrome拡張機能のメンテナンス担当者やコードの変更内容をユーザーが理解しやすくするための対策を講じる予定があるかどうかを尋ねた。回答はまだ得られていない。®
