パスワードを忘れた? アカウント作成
16515993 story
Chrome

Chrome拡張機能のGet cookies.txt、スパイウェアに変貌 24

ストーリー by nagazou
拡張機能トラップ 部門より

「Google Chrome」用の拡張機能「Get cookies.txt」が、スパイウェア化したことが話題になっている(Torishimaさんのツイート窓の杜)。この拡張機能は、ユーザー情報を無断で外部サーバーへ送信していると見られる。このことを報告しているTorishimaさんはTwitterで

今 Chrome に Get cookies.txt という拡張機能を入れている方、”””今すぐ”””アンインストールしてください!!
ページ遷移すると Cookie からアクセスした URL から何からすべて外部サーバーに送られる凶悪スパイウェアになってます 怖過ぎる…

との警告を出している。Chrome Webストアのレビューによれば、少なくとも1か月以上前からスパイウェアに変わっていた模様。この件に関しては窓の杜編集部でもデバイスの情報やCookieなどがPOST送信されていることを確認したとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年03月02日 12時41分 (#4419723)

    本来の用途は何?

    • by Anonymous Coward on 2023年03月02日 12時48分 (#4419730)

      まだChromeウェブストアに載っていてインストールも可能。
      https://chrome.google.com/webstore/detail/get-cookiestxt/bgaddhkoddajc... [google.com]
      説明やレビュー見るだけに留めておこう。

      親コメント
      • by Anonymous Coward

        まだChromeウェブストアに載っていてインストールも可能。

        既にインストール済みの拡張機能を、ウェブストア側から無効にするような仕組みは無いのでしょうか?

        • by Anonymous Coward

          なにそれ怖い

          • by Anonymous Coward

            Google Play StoreにもAppleのAppstoreも実装されてますが、
            スマホお使いじゃないんでしょうか。

        • by Anonymous Coward

          「この拡張機能は Chrome ウェブストアのポリシーに違反しています。」
          って出て、強制的に無効にされる仕組みはあるよ。

          手動でONに戻せるけど、再起動でまたOFFに戻る。

    • by Anonymous Coward on 2023年03月02日 12時44分 (#4419727)

      Cookieの内容をファイルにエクスポートする拡張機能なんだって。
      そういう拡張機能を入れた覚えのあるひとが気にすべきということですね。
      それがアップデートによっていつの間にかCookieの内容を作者のサーバに送信するよう改変されていたということらしい。

      親コメント
  • by Anonymous Coward on 2023年03月02日 13時01分 (#4419740)

    ウェブブラウザに保存されてるcookieをテキストファイルとして抜き出す拡張だそうで。本来の用途からすると外部通信の必要のない拡張なので、マルウェア化するに当たってその辺りの権限が追加されてると思われる。それをレビュアーがスルーしていたとしたら、ザルにも程があるだろうなあ。

    • by Anonymous Coward on 2023年03月02日 13時26分 (#4419761)

      こっちの方で詳しくまとめられてるけど
      https://qiita.com/rana_kualu/items/e50e33bbde229882da8d [qiita.com]
      Manifest V3への対応との事
      だけど外部に送信しなくても出来るようなので
      作者がすっとぼけてるか、勘違いで実装してしまったっぽい
      そもそも外部に安易に送信しては行けないものだから
      勘違いでも相当駄目なんだが

      親コメント
    • by Anonymous Coward

      事実かどうかは知らんが、

      Chrome拡張機能は、Manifest V3に移行する必要があるのだが、そうすると拡張機能は他ドメインへの通信を傍受できなくなり、cookieを取得できなくなるっぽい。そこでGet cookies.txtは、自ドメインにcookieを送ることで回避するようにしたらしい。

      だそうだ。

      • by Anonymous Coward

        事実か怪しいし間抜けな話だが、Manifest V3がセキュリティへの侵害のきっかけになった例の一つってことだな。
        権限を厳しくすると何とかして回避しようとするのよね。
        こういう事態を避けるためのManifest V3ってのも分かるけど。

        クラウドサーバー使ってる場合はサーバーサイドのコードを第三者が検証できる仕組みがあればこういうやり方を安全に実現できるかもしれないなと思った。既にある?

      • by Anonymous Coward

        君ならそういうときどうする? 警告の一つでも置くと思うんだ。
        ダウト。

        • by Anonymous Coward

          ダウトもなにもプライバシーポリシーにしっかり書いてあるんだか

        • by Anonymous Coward

          俺や君がどう思ったかはこれの作者がどう思ったかとは特に関連性はないよ。

  • by Anonymous Coward on 2023年03月02日 13時23分 (#4419759)

    こういうことがあるから拡張機能は危険なんだよなぁ。
    どんな有名な拡張機能だっていつこうなってもおかしくない。
    サイト側からすればユーザーが拡張機能入れてるブラウザで大事なことをさせるってのも危ない。
    だから大事な作業はInternet Explorerを使わせるみたいなやり方が割と有効。もう無理だけど。
    拡張機能ベースの情報流出がまずなく、基本的に全員同じ体験を保証できるわけだから。

    というかブラウザ拡張機能ってセキュリティ的に重大なんだからもうちょいまともに審査してくれと思うわ。
    全サイトの読み出し権限とインターネットアクセス権限があるからこの挙動は何の問題もないみたいな認識なのかGoogleは?

    • by Anonymous Coward

      拡張機能の行儀の悪さが認知されだしたのってIEのツールバー地獄とかJWORDとかが走りだろ。
      今どきIEをターゲットにしたアドウェア類は流行ってないからって無かったことにはするなよ。
      何処で拾うんだか、PC音痴な人のPCには今でもJWORD系列のゴミが入ってたりするんだぞ?

  • by Anonymous Coward on 2023年03月02日 13時54分 (#4419781)

    ブラウジング時の用途別にプロファイルを使うようになった。
    → 拡張機能はプロファイル毎に入れ直さなければならなかった。
    → 面倒なので必要なものだけ入れるようになり、数を重ねる事にこれだけは使うというものしか入れなくなった。
    → 拡張機能に頼らない体質になり、殆どは使わないのが当たり前になった。

    → プロファイル機能を使うとセキュリティが高まる!

    • by Anonymous Coward

      Firefoxのコンテナタブ [mozilla.org]を使えば同じ拡張機能を同じ設定でcookie/localStorageだけ分離できますが。
      Firefoxに対応しているサイトが減ってきている?それはまぁ…そうだね…。

      • by Anonymous Coward

        どちらかといえば拡張機能を分離するのもプロファイルを使う意味に含まれるので、共用できないのは必要コストではあるのです。

    • by Anonymous Coward

      俺も買い物用プロファイルとブラウジング用プロファイルとを分けてる。
      買い物用プロファイルの方は拡張機能入れてない。
      もともとはアドブロックとか拡張機能入れてるとうまく動かないサイトがあるからそうしたんだけど。
      getCookies.txtも使ってたけど、リスク高すぎるのでgetCookies.txt専用プロファイルを作ってそこに入れてた。
      難しいことはしてないので、最終的には勉強も兼ねて拡張機能を自分で作ったわ。

    • by Anonymous Coward

      Android版でも複数プロファイルは使えますか?

    • by Anonymous Coward

      2個目3個目はOSでも成立するのでカスタム系ツールや常駐ソフト、標準機能の差し替え系ソフトを入れるのがめっきり減った。
      でもEverythingとサクラエディタ、7zipは必須で入れるかも。
      エクスプローラが7以降ローカルですらF5リロード必要だったりすぐ固まったりするゴミだから代替が欲しいけど、どうすっかなぁ……

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...