パスワードを忘れた? アカウント作成
237158 story
Google

ユーザーのログイン情報を盗む Google Chrome エクステンションのコード 11

ストーリー by reo
気をつけよう 部門より

insiderman 曰く、

本家 /. 記事によると、ユーザーのログイン情報を盗む Google Chrome 向けのエクステンションのコードが公開されたとのこと (作成者のブログ記事) 。

このエクステンションは Chrome のセキュリティ上の問題を実証するために開発されたとのことで、Web サービスへのログインの際に使われるフォームに入力された ID やパスワードを盗み、Ajax を使って特定のサイトに送信するというものだそうだ。ブログ上でコードの解説も行われている。

作成者である Andreas Grech 氏が記事で補足しているが、このエクステンションは Google Chrome のリポジトリにアップされている訳でもなんでもなく、自分の環境で実行した結果を示しただけで、各種アカウント情報を盗んだりは一切していないとのこと。また、これは Google Chrome の重大な脆弱性を指摘するようなものではなく、サードパーティ製のアプリケーションをインストールする際に留意するべき点を気付かせ、Google Chrome を「最も安全なブラウザ」として盲信しないよう注意を喚起するためである、としている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • サーバに通信を行うエクステンションを入れる際に注意を出してもあんま意味なさそう(そんなんばっかりだからユーザは警告を無視する)だし、フォームの内容を監視するエクステンションを入れる際に(略)だし、事前チェックしてから公開ぐらいしか対処法ないのかなこれ。
    原理的に(ソースコードの精査以外に)この手の悪意ある(もしくは悪意が無くてもうっかり収集するような)拡張機能を排除する技術手段ってないよね?
    # 知らないだけで既にあるのかな……

    • by Anonymous Coward

      そんなものあるならウイルスを排除する技術手段も普及している気がする

      • by Anonymous Coward
        ようするに「不審なソフトウェアをインストールしないでね」が、
        「不審なプラグインをインストールしないでね」になっただけですね。
        プラグインに対する警戒心が、ソフトウェアに対するそれよりも低いことに警鐘を鳴らしているのでしょう。

        ソフトウェアのインストールであれば、Vista以降のWindowsで管理者権限の確認画面が出ますが、
        プラグインは確か一般ユーザ権限でインストールできてしまいますよね。
        その点では、問題が顕在化しやすいと言えるかも知れません。
    • by Anonymous Coward

      > サーバに通信を行うエクステンションを入れる際に注意を出しても
      というか注意はすでに出ますよ。どのサーバに通信を行うかまで。
      少なくともChromium Update Checker(名前はうろ覚え)を入れたときは、この拡張機能はchromium.orgと通信すると警告されました。

      • by Anonymous Coward
        「ページ内容に干渉する」種類のエクステンションに紛れ込ませれば回避できてしまうかと思います。
        ページ内容に干渉した結果AJAXが仕込まれて通信が起きても、それを例外として検知することは難しいかと。

        悪用可能な範囲がかなり広い警告「ページ内容に干渉する」が発生するエクステンションは結構多いので、警告が無意味化してしまう、というのが元コメントの意図かと思います。

        AutoPagerize系とかがいい例かな。
        「ページ内容に干渉して通信する」「ソレナリに知名度もある」「類似品が複数あって鉄板実装がどれか不明」
        なので、どれを入れようかと迷った挙句トロイを引き当てるってのは有り得そうです。
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...