2本のGoogle Chrome拡張機能、開発者アカウント乗っ取りでアドウェアが配信される 64
ストーリー by headless
拡張 部門より
拡張 部門より
Google Chrome拡張機能開発者のChromeウェブストアアカウントが乗っ取られ、アドウェア入りの拡張機能が配信されるトラブルが1週間で2件発生している(The a9t9 Automation Blogの記事、
Blog on chrispederick.comの記事、
The Registerの記事、
Ars Technicaの記事)。
乗っ取りが発生したのは「Copyfish」を開発するa9t9のアカウントと、「Web Developer」を開発するChris Pederick氏のアカウント。いずれもGoogleを装って拡張機能の更新を求めるフィッシングメールにだまされ、リンク先のWebページでログイン情報を入力した結果だという。
Pederick氏は異変に気付いて数時間で新バージョンの差し替えを完了している。一方、a9t9はCopyfishが攻撃者のアカウントに移されていたため、差し替えが完了したのは3日後だったそうだ。さらに開発者アカウントが一時停止されるトラブルも発生したとのこと。なお、a9t9は改変部分のコードを含め、実際にどのような改変が行われていたのかについても紹介している。
Googleでは開発者に無料で二要素認証機能を提供しているが、必須ではなく、両者とも有効にしていなかったようだ。今回配信された不正な拡張機能はWebページに広告を表示するだけのものだが、Ars Technicaの記事ではセキュリティ面で高く評価されるChromeに対する容易な攻撃ベクターとして拡張機能が狙われる可能性も指摘している。
乗っ取りが発生したのは「Copyfish」を開発するa9t9のアカウントと、「Web Developer」を開発するChris Pederick氏のアカウント。いずれもGoogleを装って拡張機能の更新を求めるフィッシングメールにだまされ、リンク先のWebページでログイン情報を入力した結果だという。
Pederick氏は異変に気付いて数時間で新バージョンの差し替えを完了している。一方、a9t9はCopyfishが攻撃者のアカウントに移されていたため、差し替えが完了したのは3日後だったそうだ。さらに開発者アカウントが一時停止されるトラブルも発生したとのこと。なお、a9t9は改変部分のコードを含め、実際にどのような改変が行われていたのかについても紹介している。
Googleでは開発者に無料で二要素認証機能を提供しているが、必須ではなく、両者とも有効にしていなかったようだ。今回配信された不正な拡張機能はWebページに広告を表示するだけのものだが、Ars Technicaの記事ではセキュリティ面で高く評価されるChromeに対する容易な攻撃ベクターとして拡張機能が狙われる可能性も指摘している。
違和感ありすぎ (スコア:0, オフトピック)
いずれもGoogleを装って拡張機能の更新を求めるフィッシングメールにだまされ、リンク先のWebページでログイン情報を入力した結果だという。
これさぁ、もはや脆弱性とかそういう話ではないじゃん?
要するにこのa9t9とかいう人と、Chris Pederickとかいう人が、フィッシングメールに引っかかってアカウント乗っ取られただけの話じゃん。
なんで「新たなるChromeの脆弱性が発見され、その結果Chromeウェブストアアカウントが乗っ取られ、アドウェア入りの拡張機能が配信された。」みたいな論調のタレコミなの?
てかこんな程度のことで毎回毎回一々トピック立ててたら、大変な数になると思うけど。headlessは、そこらへんわかってやってんの?
Re:違和感ありすぎ (スコア:3, すばらしい洞察)
ちょっと過剰反応し過ぎじゃないの。別にChromeの脆弱性なんて書いてないだろ。
まさに下記のような意味で一般ユーザーにも関心のある事項だろう。
セキュリティ面で高く評価されるChromeに対する容易な攻撃ベクターとして拡張機能が狙われる可能性
「Chromeだからって安心すんなよ」っていう警鐘を上げているのに、信者がいちいち過剰反応して記事自体をつぶそうとすんのかよ。
めんどくせーな。
Re:違和感ありすぎ (スコア:4, 興味深い)
セキュリティの観点から価値がある記事だと思いますね。
・攻撃はシステムの最も脆弱な部分が狙われる。
・攻撃にはトレンドがある。
「Chromeのシステムで一番脆弱な部分が拡張機能であり、そこを狙う攻撃が増加している」という記事だと受け取りました。
Re: (スコア:0)
「Chromeのシステムで一番脆弱な部分が拡張機能であり、そこを狙う攻撃が増加している」という記事だと受け取りました。
ChromeじゃなくてもAndroidやiOSやWindowsの拡張機能としてのアプリストアって書いたってほとんど
同じ話だし、程度の差はあるだろうが実際に攻撃されまくってる。
単純な話で、第三者が提供可能なアプリやアドオンに関してはブラウザやOSのコアとは提供者が違うので
注意しないといけないし、提供者の不注意で開発者アカウントが乗っ取られてこれまでは安心していた
ものにもマルウェアが混じってくる場合があるのだ、ということだろう。
Re: (スコア:0)
> Appleがカネ出して工作
本当に思っているとしたら、病院に行くことも検討したほうがいいんでは。いや本当に。
Re: (スコア:0)
く、狂ってる・・・
Re: (スコア:0)
完全にブーメランでわらた
Re: (スコア:0)
なんだそれ?
IDさえ作ればモデレーションポイントが無尽蔵に手に入ると勘違いしてる?
ま、まさか、モデレート権が手に入るまでIDを作り続けるってこと?
そんなヒマなことするのはお前くらいのもんだろう・・・
# 「自分のコメントにモデレートしろ」なんてこと言う阿呆が出てくるとはね・・・
Re: (スコア:0)
だよなあ
拡張機能もAndroidアプリみたいに権限の表示あるんだし
それ見て怪しい権限あるものを使うなよってだけの話やん?
って思って見直したが、Androidと比べても明らかにザルだな・・・
ブラウザなんだから仕方ないっちゃあ仕方ないんだけど
Re: (スコア:0)
GoogleでPederickを検索すると、1位に出てくるんだな、Chrisは…名が知られているってことは狙われるってことなんだね。
Re: (スコア:0)
> Googleからクレームが入ってもおかしくない
プッ
来期のボーナス賭けてもいいが、絶対にクレームなど入らないw
お前が一人で騒いでるだけ
Re: (スコア:0)
そんなのこれまでストーリーに何度も掲載されているでしょ.
下のやつとか.新参なら毒を吐く前にすこし過去の記事読めばいいのに...見出しだけでも.
XcodeGhost、Appleのコードレビューでも発見されないマルウェア感染iOSアプリを生成 | スラド アップル [apple.srad.jp]
Re: (スコア:0)
XcodeGhostは「Appleの審査が全く役に立っていない」という
「Apple固有の詐欺問題」をも示しているので今回の件よりもずっと重度なんだよ
それに対して今回の件はGoogleもAppleも関係なく
「開発者がどっかで勝手にフィッシングに引っかかってアカウント乗っ取られた」でしかない
だからこそこのタレコミが問題になってる
上記のような観点も理解できてないで何が何でも今回のタレコミは正しいと言い張る新参Apple信者は毒を吐く前にすこし勉強してこい
Re:違和感ありすぎ (スコア:1)
このストーリー読んで、新たなるChromeの脆弱性が発見されたなんて思わなかったし、そんな論調だとも感じなかったが。
Re:違和感ありすぎ (スコア:1)
誤解を招かないように表題を書き換えると、どうなりますか?
-- う~ん、バッドノウハウ?
Re: (スコア:0)
「宇宙ヤバい」コピペかと思った(素)
Re: (スコア:0)
これはストーリーなのでトピックはたっていません。
Re: (スコア:0)
最初からあなたの言う通りの話にしか見えませんが
そしてスルーするのが健全な程、いちいち取り上げると膨大な件数なら記事になりそうにありませんが
実際にネット記事になってこうやってスラドに参照されてんだからそれだけの価値はあるんじゃないの?
この拡張機能の作者自体、信じていいのだろうか… (スコア:0)
a9t9が「悪徳」と見えてしまうんだが…
Re: (スコア:0)
サイトのアバウトや、ツイッターにも書いてありますが、「Automation Technology」のことですよ。
末尾こそないものの、ヌメロニムの略し方ですね。
https://a9t9.com/about [a9t9.com]
https://twitter.com/a9t9_com [twitter.com]
Re: (スコア:0)
言語が違うと全然違うように読めてしまうこともある、という話ですな。
撃たれる覚悟のある雉だけが鳴きなさい (スコア:0)
後ろめたいところのある人間は、つねに陰におびえ、過剰防衛の心理にかられるものだ
- クリストフ・フォン・ケーフェンヒラー(架空の人物)
Re: (スコア:0)
つ「鏡」
Re: (スコア:0)
何が映っているのか具体的にどうぞ
Re: (スコア:0)
ただのイケメンでした
アドウェアではなく完全にマルウェア (スコア:0)
事態を矮小化するようなタイトルはよろしくありません、一次ソースをきちんと読んでから記事を書きましょう。
Chris Pederick氏は少なくともCloudflareをターゲットにした何らかの改ざんが加えられているとして当該時間にログインした全てのサイトのパスワード及びCloudflareのAPIキーを変更することを推奨してます。
以下引用
it is strongly advised that if you had Web Developer for Chrome installed that you change your password to any site that you logged into on Wednesday, August 2nd as a precaution, particularly Cloudflare which looks as though it may have been explicitly targeted. It has also been suggested that Cloudflare users revoke their API key if they visited the Cloudflare dashboard yesterday as this may have been compromised as well.
http://chrispederick.com/blog/web-developer-for-chrome-compromised/ [chrispederick.com]
Re: (スコア:0)
そう思うなら、自分でどんどんタレコんだら良いのでは。
「日常茶飯事で起きてること」なんでしょ?
Re:久しぶりに来てみたら (スコア:1)
ただ単に色々な方法でスラドの連続投稿制限を突破している暇人が一人か二人居るというだけでしょう。
Re: (スコア:0)
自分もそう思います。
Re: (スコア:0)
久しぶりってどれくらい?この状況ここ数年どころのトレンドじゃないよ。
Re: (スコア:0)
大丈夫! はじまってもいないさ!
てか、平常運転ですよー。むしろコメント伸びてウハウハ!!
Re: (スコア:0)
いやほんと、もう大分厳しいねぇ。
日本語通じない奴相手にしても、議論が成立しないんだよ。
見る限り、暴れてる奴は文章に一定の特徴が見られるから少数だとは思うんだけども。
もう、モデレーションシステムの限界だと思う。
ていうか、モデレーションシステムがすげぇ役立ったって思った事ないなぁ……。
そして、以前はまだ実際にちゃんと知識のある人や議論の出来る人が多かったけど、最近はすぐ感情論や個人攻撃、しょうもない煽りに走るからなぁ。
「で、ここに対する反論は?」
って聞いてもまるで答えてくんないんだよ。どうしろってんだ。
昔はほんと、書き込みのレベルが高くて良い意味で敷居が高かった。
俺程度が書いていいんだろうか、みたいな。
そして、ROM専でも得られるものがあった。
今はもう、しょうも無い罵り合いばかり。はぁ。
素晴らしい書き込みが全くない、とは言わないけども。
Re: (スコア:0)
5年前だってこんな感じだったけどね。
本筋から離れた枝葉で無意味に燃え上がるのは。
Re: (スコア:0)
いつものひと大活躍のスレw
なんかまー、いろいろたいへんだw
Re: (スコア:0)
なんというか、夏休みだな。
# まぁある意味風物詩と言えなくもない。
# この時期どこも似たようなもんだ。
Re: (スコア:0)
てゆうか、これまで Intel 信者とか Apple 信者とか Microsoft 信者とかは見たけど、
Google 信者は初めてみた気がする。
Android ユーザーにもいるんだねえ。こういう風に過剰反応する人。
Re:久しぶりに来てみたら (スコア:1)
"Don't be evil"
というモットーからの乖離が今ほど目立たなかった頃はプチ信者だったわたし。
時期にすれば15年以上前?
Re:たとえばこういう話だよね (スコア:1)
このタイトルと本文を読んで Google のせいになってる!と騒いでるのは君しかいないから安心していいぞ。
Re: (スコア:0)
だからぁ、「タレコミをリジェクトする」ことなんて無いんだから、
自分でタレコめば良いじゃんってば
Re: (スコア:0)
ハハハハハ!ついに敗北宣言か!
何一つ反論することも証拠を示すこともできずに、
荒らしの結果としてマイナスモデ食らって書き込み制限、
そこでやめときゃ良いものを、
最後に負け犬のような捨て台詞ときた
私はあのACとは違うが、慎んでこの称号を贈ろう
> 負け犬無能
Re: (スコア:0)
#3257628 みたいなキチガイがスラドに粘着してることが癌なんだよなぁ
とはいえAppleはアメリカの政商状態で馬鹿みたいにカネため込んでて工作員も雇い放題だし
スラドはもう終わるしかないんかね
Re: (スコア:0)
どうしたどうした
もう「キチガイ」と「工作員」しか出てこないか
もっと面白いこと言ってみろ >負け犬
Re: (スコア:0)
己のコメントが悉くマイナスモデされるなか
マイナスモデを案じていた#3256647がここまで残っている、
という事実から彼我の差を
思い知る省みるがよい > 負け組無能