Symantecは6月5日(米国時間)、「Unmasking Insecure HTTP Data Leaks in Popular Chrome Extensions|Symantec Enterprise Blogs」において、Chromeの拡張機能が機密情報を送信していると伝えた。

今回問題を指摘された拡張機能はSEMRush Rank、PI Rank、MSN New Tab/Homepage、DualSafe Password Manager、Browsec VPNの6つ。これら以外にも存在するとみられているが、6つの拡張機能について具体的な問題点と悪用方法を解説している。

  • Unmasking Insecure HTTP Data Leaks in Popular Chrome Extensions|Symantec Enterprise Blogs

    Unmasking Insecure HTTP Data Leaks in Popular Chrome Extensions|Symantec Enterprise Blogs

SEMRush RankとPI Rankに共通する問題

SEMRush RankとPI Rankはいずれも現在アクセスしているWebサイトのランキングを表示する拡張機能だ。どちらもランキングを「rank.trellian.com」から取得するが、その際に暗号化のないHTTPプロトコルを使用してURLを送信するという。

HTTPプロトコルは中間者攻撃(MITM: Man-in-the-middle attack)に脆弱で、公衆無線LAN(フリーWi-Fi)環境などでは情報漏洩、データ改ざんの可能性がある。そのため、これら拡張機能を使用すると、アクセスしたWebサイトのURLをすべて漏洩する可能性がある。

Browsec VPNの問題

Browsec VPNは600万人以上が利用しているとされる人気の無料VPNだ。問題は拡張機能をアンインストールする際に発生し、使用統計と一意のユーザーIDをHTTPプロトコルで送信するという。

この他にも、コンテンツセキュリティポリシーのconnect-srcからHTTPプロトコルのURLが複数確認されている。これらURLには有害な広告配信やコンピューター情報を集収しているとみられるWebサイトが含まれており、第3者に情報を窃取される可能性がある。

Microsoftの拡張機能にも問題

MSN New TabおよびMSN Homepage, Bing Search & NewsはいずれもMicrosoftが提供している人気の拡張機能だ。Symantecの分析によると、これら拡張機能からもMachineIDと追加情報をHTTPプロトコルで送信する機能が確認されている。

1度限りの送信であれば大きな問題とはならない情報だが、これら拡張機能は繰り返し送信する可能性があり、高度なユーザープロファイリングにつながるとの指摘がある。

DualSafeは指摘を受け修正

パスワードマネージャーのDualSafe Password Manager & Digital Vaultからも、HTTPプロトコルで情報を送信する機能が確認されている。認証情報などは送信しないが、利用統計として拡張機能のバージョン、Webブラウザの言語、使用状況などが送信、収集される。

これらデータの直接的な悪用は困難とみられているが、パスワードマネージャーの性質上、利用状況の流出は脅威になるとの指摘がある。DualSafeは問題の指摘を受け、最新リリースにてプロトコルをHTTPSに切り替えている。

開発者はHTTPSへ移行を

Symantecはすべてのケースにおいて、HTTPプロトコルによる情報流出の可能性を指摘している。HTTPプロトコルは暗号化やサーバ検証に対応しておらず、中間者攻撃による情報窃取、データ改ざんが可能とされる。

データに重要な情報が含まれておらず直接的な被害がないと想定される場合においても、一意に識別できるIDなどが含まれる場合、サードパーティークッキーと同様に高度なユーザープロファイリングが可能とされ、プライバシー侵害の恐れがある。

前述の拡張機能の開発者は悪用を意図したわけではないとみられている。しかしながら、攻撃可能な状況を作り出しており改善が望まれている。

通信処理を実装するすべての開発者にはユーザープライバシーの保護とサイバー攻撃を回避するため、HTTPプロトコルの利用状況の確認とHTTPSプロトコルへの切り替えが推奨されている。