パスワードを忘れた? アカウント作成
13371651 story
Chrome

2本のGoogle Chrome拡張機能、開発者アカウント乗っ取りでアドウェアが配信される 64

ストーリー by headless
拡張 部門より
Google Chrome拡張機能開発者のChromeウェブストアアカウントが乗っ取られ、アドウェア入りの拡張機能が配信されるトラブルが1週間で2件発生している(The a9t9 Automation Blogの記事Blog on chrispederick.comの記事The Registerの記事Ars Technicaの記事)。

乗っ取りが発生したのは「Copyfish」を開発するa9t9のアカウントと、「Web Developer」を開発するChris Pederick氏のアカウント。いずれもGoogleを装って拡張機能の更新を求めるフィッシングメールにだまされ、リンク先のWebページでログイン情報を入力した結果だという。

Pederick氏は異変に気付いて数時間で新バージョンの差し替えを完了している。一方、a9t9はCopyfishが攻撃者のアカウントに移されていたため、差し替えが完了したのは3日後だったそうだ。さらに開発者アカウントが一時停止されるトラブルも発生したとのこと。なお、a9t9は改変部分のコードを含め、実際にどのような改変が行われていたのかについても紹介している。

Googleでは開発者に無料で二要素認証機能を提供しているが、必須ではなく、両者とも有効にしていなかったようだ。今回配信された不正な拡張機能はWebページに広告を表示するだけのものだが、Ars Technicaの記事ではセキュリティ面で高く評価されるChromeに対する容易な攻撃ベクターとして拡張機能が狙われる可能性も指摘している。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 違和感ありすぎ (スコア:0, オフトピック)

    by Anonymous Coward on 2017年08月05日 20時42分 (#3256647)

    いずれもGoogleを装って拡張機能の更新を求めるフィッシングメールにだまされ、リンク先のWebページでログイン情報を入力した結果だという。

    これさぁ、もはや脆弱性とかそういう話ではないじゃん?
    要するにこのa9t9とかいう人と、Chris Pederickとかいう人が、フィッシングメールに引っかかってアカウント乗っ取られただけの話じゃん。

    なんで「新たなるChromeの脆弱性が発見され、その結果Chromeウェブストアアカウントが乗っ取られ、アドウェア入りの拡張機能が配信された。」みたいな論調のタレコミなの?
    てかこんな程度のことで毎回毎回一々トピック立ててたら、大変な数になると思うけど。headlessは、そこらへんわかってやってんの?

    • Re:違和感ありすぎ (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2017年08月05日 22時09分 (#3256680)

      ちょっと過剰反応し過ぎじゃないの。別にChromeの脆弱性なんて書いてないだろ。
      まさに下記のような意味で一般ユーザーにも関心のある事項だろう。

      セキュリティ面で高く評価されるChromeに対する容易な攻撃ベクターとして拡張機能が狙われる可能性

      「Chromeだからって安心すんなよ」っていう警鐘を上げているのに、信者がいちいち過剰反応して記事自体をつぶそうとすんのかよ。
      めんどくせーな。

      親コメント
      • by Anonymous Coward on 2017年08月05日 22時45分 (#3256704)

        セキュリティの観点から価値がある記事だと思いますね。
        ・攻撃はシステムの最も脆弱な部分が狙われる。
        ・攻撃にはトレンドがある。

        「Chromeのシステムで一番脆弱な部分が拡張機能であり、そこを狙う攻撃が増加している」という記事だと受け取りました。

        親コメント
        • by Anonymous Coward

          「Chromeのシステムで一番脆弱な部分が拡張機能であり、そこを狙う攻撃が増加している」という記事だと受け取りました。

          ChromeじゃなくてもAndroidやiOSやWindowsの拡張機能としてのアプリストアって書いたってほとんど
          同じ話だし、程度の差はあるだろうが実際に攻撃されまくってる。
          単純な話で、第三者が提供可能なアプリやアドオンに関してはブラウザやOSのコアとは提供者が違うので
          注意しないといけないし、提供者の不注意で開発者アカウントが乗っ取られてこれまでは安心していた
          ものにもマルウェアが混じってくる場合があるのだ、ということだろう。

      • by Anonymous Coward

        だよなあ
        拡張機能もAndroidアプリみたいに権限の表示あるんだし
        それ見て怪しい権限あるものを使うなよってだけの話やん?
        って思って見直したが、Androidと比べても明らかにザルだな・・・
        ブラウザなんだから仕方ないっちゃあ仕方ないんだけど

      • by Anonymous Coward

        GoogleでPederickを検索すると、1位に出てくるんだな、Chrisは…名が知られているってことは狙われるってことなんだね。

    • by Anonymous Coward on 2017年08月05日 23時23分 (#3256712)

      このストーリー読んで、新たなるChromeの脆弱性が発見されたなんて思わなかったし、そんな論調だとも感じなかったが。

      親コメント
    • by Anonymous Coward

      これはストーリーなのでトピックはたっていません。

    • by Anonymous Coward

      最初からあなたの言う通りの話にしか見えませんが
      そしてスルーするのが健全な程、いちいち取り上げると膨大な件数なら記事になりそうにありませんが
      実際にネット記事になってこうやってスラドに参照されてんだからそれだけの価値はあるんじゃないの?

  • a9t9が「悪徳」と見えてしまうんだが…

    • by Anonymous Coward

      サイトのアバウトや、ツイッターにも書いてありますが、「Automation Technology」のことですよ。
      末尾こそないものの、ヌメロニムの略し方ですね。

      https://a9t9.com/about [a9t9.com]
      https://twitter.com/a9t9_com [twitter.com]

      • by Anonymous Coward

        言語が違うと全然違うように読めてしまうこともある、という話ですな。

  • by Anonymous Coward on 2017年08月06日 8時35分 (#3256782)

    後ろめたいところのある人間は、つねに陰におびえ、過剰防衛の心理にかられるものだ
    - クリストフ・フォン・ケーフェンヒラー(架空の人物)

  • by Anonymous Coward on 2017年08月06日 13時42分 (#3256873)

    事態を矮小化するようなタイトルはよろしくありません、一次ソースをきちんと読んでから記事を書きましょう。

    Chris Pederick氏は少なくともCloudflareをターゲットにした何らかの改ざんが加えられているとして当該時間にログインした全てのサイトのパスワード及びCloudflareのAPIキーを変更することを推奨してます。

    以下引用
    it is strongly advised that if you had Web Developer for Chrome installed that you change your password to any site that you logged into on Wednesday, August 2nd as a precaution, particularly Cloudflare which looks as though it may have been explicitly targeted. It has also been suggested that Cloudflare users revoke their API key if they visited the Cloudflare dashboard yesterday as this may have been compromised as well.
    http://chrispederick.com/blog/web-developer-for-chrome-compromised/ [chrispederick.com]

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...