人気広告ブロックプラグイン uBlock Origin は、インターネット上の悪質なものを排除することに熱心すぎるとして非難を浴びている。同プラグインは、ハッキング攻撃に対してブラウザが警告を発するのを阻止しているのだ。
問題の核心は、コンテンツセキュリティポリシーレポート(CSPレポート)と呼ばれる比較的新しい技術です。これはW3Cドラフトとしてこちら、Googleによってこちら、そしてMozillaによってこちらで文書化されています。ウェブサイトはCSPを使用することで、ページ上で実行を許可するスクリプトコードをホワイトリスト化できます。これにより、攻撃者がブラウザに悪意のあるJavaScriptを挿入し、ユーザーのログイン済みアカウントを乗っ取るのを防ぐことができます。
クロスサイトスクリプティング(XSS)攻撃を阻止し、ハッキングの試みをウェブサイト管理者に自動的に報告する機能です。とても便利です。
しかし、uBlock OriginはブラウザによるこれらのCSPアラートの送信をブロックしていると、情報セキュリティコンサルタントのスコット・ヘルム氏が月曜日にuBlock OriginのGitHubリポジトリのバグレポートで報告しました。この無料のChromeおよびFirefoxプラグインは、ユーザーのプライバシー保護のために無効化されたスクリプト(例えば、無害化されたGoogle Analyticsスクリプト)がページ上で許可されている場合、すべてのCSPレポートを破棄します。
バグレポートの中で、Helme 氏は次のように書いています。
uBlock Originの開発者であるレイモンド・ヒル氏は、これは「仕様」であり、Googleトラフィックアナリティクスなどの無効化されたスクリプトの実行が許可されている場合、プラグインはすべてのCSPアラートを停止すると回答しました。また、ユーザーは特定のサイトでGoogleアナリティクスを手動でホワイトリストに登録することで、CSPレポートの抑制を回避できると付け加え、バグを修正しました。
問題は、uBlock Originがインストールされ、悪意のあるユーザーがXSS攻撃を実行しようとしている場合、ウェブサイトはブラウザからアラートを受信しないことです。つまり、サイトの開発者や管理者はコードの脆弱性を悪用しようとする試みに気付かず、脆弱性が解決されず、攻撃を受けたユーザーはアカウントの制御を失う可能性があります。最終的に、Helme氏らは、uBlock OriginによるCSPアラートの広範なブロックを終わらせたいと考えています。
「uBlock OriginはCSPレポートに干渉することなくGoogle Analyticsをブロックできます。この2つは無関係で、CSPレポートの送信をブロックすることを選択しているだけです」とヘルメ氏はEl Regに語った。Have I Been Pwnedウェブサイトを運営するトロイ・ハント氏は、「これが問題です。例えば、サイトにXSSリスクがある場合、uBlock Originを実行しているブラウザはそれを報告できなくなります」と付け加えた。
ヒル氏は、CSPレポートはリモートサーバーに送信されるデータであるため、潜在的なプライバシー問題を引き起こす可能性があると反論した。「CSPレポートは、ホストがサーバー設定に関する問題を解決するのに役立つだけで、ユーザー自身の問題を解決するのには全く役立ちません。CSPレポートはユーザーの利益のためにあるわけではありません。そう主張するのは単なるマーケティングです」と彼は主張した。
本質的には、uBlock OriginはGoogle Analyticsによるウェブ上でのユーザー追跡を阻止しようとしています。Hill氏は、スクリプトを無効化すると偽のCSPレポートが生成される可能性があると警告し、情報漏洩を防ぐためにこれらのレポートをブロックしています。
ヘルメ氏はエル・レグ紙に対し、uBlock Originの包括的なポリシーは機能しないだけでなく、考えも浅いと述べた。ウェブサイトのウェブページからウェブサイトに報告される情報は、ウェブサイト側が把握しているはずだ。結局のところ、そのページはウェブサイト側が生成したものなのだから。
ウェブ広告がブロッカーを回避するために使う悪質なトリックが明らかに
続きを読む
「uBOはあらゆる報告に対して一方的かつ無差別な措置を取っています」とヘルメ氏は説明した。「uBOが自らが引き起こした報告を制限したいのであれば、それはそれで構いません。しかし、セキュリティインシデントに関する報告を一切サイトから送信させないようにするのは、せいぜい危険に思えます。」
CSPレポートをレポートサービスに送信することが、コンテンツ配信ネットワークから画像、スクリプト、スタイルシートを読み込むことよりもプライバシーを侵害することになるのか、私には理解できません。ユーザーの99.99999%はCSPの存在すら知らないでしょうから、ユーザーが手動でホワイトリストに登録してCSPを機能させるという提案は、そもそも無理があるのです。
この問題はソーシャルメディア上で活発な議論を巻き起こしました。uBlock Originユーザーである技術者のDmitry Chestnykh氏は、このプラグインはユーザーのプライバシーを強化すると主張しました。「CSPレポートはユーザーにとってセキュリティ機能ではなく、CSPブロックがセキュリティ機能です。サイトが壊れていることを報告するのはユーザーの責任ではありません。」
ウェブプライバシーに関心を持つ英国在住の最高情報セキュリティ責任者、ポール・ムーア氏はこれに異議を唱えた。「セキュリティとプライバシーを支援するプラグインが、拡張ユーザーエージェントの機能を損なうだけでなく、それを修正することを積極的に拒否しているのは奇妙に思えます」と彼は述べた。
一方、ヒル氏はその後、ヘルム氏のバグを再度オープンにして問題を再調査し、「uBO がその仕事の結果として発行される CSP レポートのみをブロックすることが可能かつ実用的であるかどうかを調べるつもりだ」と述べた。
つまり、uBlock Origin を使用する場合、現時点では、ブラウザは、ウェブサイトとそのユーザーがアカウントおよびセッション ハイジャッカーの攻撃を受けているときに、ウェブサイトに警告することはできません。®
