Chrome拡張機能のGet cookies.txt、スパイウェアに変貌 24
ストーリー by nagazou
拡張機能トラップ 部門より
拡張機能トラップ 部門より
「Google Chrome」用の拡張機能「Get cookies.txt」が、スパイウェア化したことが話題になっている(Torishimaさんのツイート、窓の杜)。この拡張機能は、ユーザー情報を無断で外部サーバーへ送信していると見られる。このことを報告しているTorishimaさんはTwitterで
今 Chrome に Get cookies.txt という拡張機能を入れている方、”””今すぐ”””アンインストールしてください!!
ページ遷移すると Cookie からアクセスした URL から何からすべて外部サーバーに送られる凶悪スパイウェアになってます 怖過ぎる…
との警告を出している。Chrome Webストアのレビューによれば、少なくとも1か月以上前からスパイウェアに変わっていた模様。この件に関しては窓の杜編集部でもデバイスの情報やCookieなどがPOST送信されていることを確認したとしている。
知らない拡張機能 (スコア:0)
本来の用途は何?
Re:知らない拡張機能 (スコア:3, 参考になる)
まだChromeウェブストアに載っていてインストールも可能。
https://chrome.google.com/webstore/detail/get-cookiestxt/bgaddhkoddajc... [google.com]
説明やレビュー見るだけに留めておこう。
Re: (スコア:0)
まだChromeウェブストアに載っていてインストールも可能。
既にインストール済みの拡張機能を、ウェブストア側から無効にするような仕組みは無いのでしょうか?
Re: (スコア:0)
なにそれ怖い
Re: (スコア:0)
Google Play StoreにもAppleのAppstoreも実装されてますが、
スマホお使いじゃないんでしょうか。
Re: (スコア:0)
「この拡張機能は Chrome ウェブストアのポリシーに違反しています。」
って出て、強制的に無効にされる仕組みはあるよ。
手動でONに戻せるけど、再起動でまたOFFに戻る。
Re:知らない拡張機能 (スコア:1)
Cookieの内容をファイルにエクスポートする拡張機能なんだって。
そういう拡張機能を入れた覚えのあるひとが気にすべきということですね。
それがアップデートによっていつの間にかCookieの内容を作者のサーバに送信するよう改変されていたということらしい。
ローカルで完結する機能だよねえ (スコア:0)
ウェブブラウザに保存されてるcookieをテキストファイルとして抜き出す拡張だそうで。本来の用途からすると外部通信の必要のない拡張なので、マルウェア化するに当たってその辺りの権限が追加されてると思われる。それをレビュアーがスルーしていたとしたら、ザルにも程があるだろうなあ。
Re:ローカルで完結する機能だよねえ (スコア:3, 参考になる)
こっちの方で詳しくまとめられてるけど
https://qiita.com/rana_kualu/items/e50e33bbde229882da8d [qiita.com]
Manifest V3への対応との事
だけど外部に送信しなくても出来るようなので
作者がすっとぼけてるか、勘違いで実装してしまったっぽい
そもそも外部に安易に送信しては行けないものだから
勘違いでも相当駄目なんだが
Re: (スコア:0)
NurseAngel氏 [srad.jp]の記事じゃん。(タレコミ時点の)この記事見て書いたのかな?
Re:ローカルで完結する機能だよねえ (スコア:1)
私は直接氏のツイート [twitter.com]を見て書きましたよ。
(誰かのRTで回ってきた)
Re: (スコア:0)
事実かどうかは知らんが、
Chrome拡張機能は、Manifest V3に移行する必要があるのだが、そうすると拡張機能は他ドメインへの通信を傍受できなくなり、cookieを取得できなくなるっぽい。そこでGet cookies.txtは、自ドメインにcookieを送ることで回避するようにしたらしい。
だそうだ。
Re: (スコア:0)
事実か怪しいし間抜けな話だが、Manifest V3がセキュリティへの侵害のきっかけになった例の一つってことだな。
権限を厳しくすると何とかして回避しようとするのよね。
こういう事態を避けるためのManifest V3ってのも分かるけど。
クラウドサーバー使ってる場合はサーバーサイドのコードを第三者が検証できる仕組みがあればこういうやり方を安全に実現できるかもしれないなと思った。既にある?
Re: (スコア:0)
君ならそういうときどうする? 警告の一つでも置くと思うんだ。
ダウト。
Re:Re: (スコア:0)
ダウトもなにもプライバシーポリシーにしっかり書いてあるんだか
Re: (スコア:0)
俺や君がどう思ったかはこれの作者がどう思ったかとは特に関連性はないよ。
拡張機能はなぁ (スコア:0)
こういうことがあるから拡張機能は危険なんだよなぁ。
どんな有名な拡張機能だっていつこうなってもおかしくない。
サイト側からすればユーザーが拡張機能入れてるブラウザで大事なことをさせるってのも危ない。
だから大事な作業はInternet Explorerを使わせるみたいなやり方が割と有効。もう無理だけど。
拡張機能ベースの情報流出がまずなく、基本的に全員同じ体験を保証できるわけだから。
というかブラウザ拡張機能ってセキュリティ的に重大なんだからもうちょいまともに審査してくれと思うわ。
全サイトの読み出し権限とインターネットアクセス権限があるからこの挙動は何の問題もないみたいな認識なのかGoogleは?
Re: (スコア:0)
拡張機能の行儀の悪さが認知されだしたのってIEのツールバー地獄とかJWORDとかが走りだろ。
今どきIEをターゲットにしたアドウェア類は流行ってないからって無かったことにはするなよ。
何処で拾うんだか、PC音痴な人のPCには今でもJWORD系列のゴミが入ってたりするんだぞ?
プロファイル多用の副作用 (スコア:0)
ブラウジング時の用途別にプロファイルを使うようになった。
→ 拡張機能はプロファイル毎に入れ直さなければならなかった。
→ 面倒なので必要なものだけ入れるようになり、数を重ねる事にこれだけは使うというものしか入れなくなった。
→ 拡張機能に頼らない体質になり、殆どは使わないのが当たり前になった。
:
→ プロファイル機能を使うとセキュリティが高まる!
Re: (スコア:0)
Firefoxのコンテナタブ [mozilla.org]を使えば同じ拡張機能を同じ設定でcookie/localStorageだけ分離できますが。
Firefoxに対応しているサイトが減ってきている?それはまぁ…そうだね…。
Re: (スコア:0)
どちらかといえば拡張機能を分離するのもプロファイルを使う意味に含まれるので、共用できないのは必要コストではあるのです。
Re: (スコア:0)
俺も買い物用プロファイルとブラウジング用プロファイルとを分けてる。
買い物用プロファイルの方は拡張機能入れてない。
もともとはアドブロックとか拡張機能入れてるとうまく動かないサイトがあるからそうしたんだけど。
getCookies.txtも使ってたけど、リスク高すぎるのでgetCookies.txt専用プロファイルを作ってそこに入れてた。
難しいことはしてないので、最終的には勉強も兼ねて拡張機能を自分で作ったわ。
Re: (スコア:0)
Android版でも複数プロファイルは使えますか?
Re: (スコア:0)
2個目3個目はOSでも成立するのでカスタム系ツールや常駐ソフト、標準機能の差し替え系ソフトを入れるのがめっきり減った。
でもEverythingとサクラエディタ、7zipは必須で入れるかも。
エクスプローラが7以降ローカルですらF5リロード必要だったりすぐ固まったりするゴミだから代替が欲しいけど、どうすっかなぁ……