セキュリティ

Firefoxの人気アドオン「Stylish」はユーザーのインターネット履歴をこっそり収集していた


by Christoph Scholz

Firefoxのアドオン機能である「Stylish」は、自分が運営するサイトでなくてもCSSを用いて自由にサイトデザインを変更できる拡張機能で、日々のブラウジングを快適にする拡張機能として人気を博していました。ところが、その裏でユーザーのインターネット履歴を収集していたことが判明し、Firefoxのアドオン一覧から削除されるという事態に発展しています。

"Stylish" browser extension steals all your internet history | Robert Heaton
https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/

人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1131143.html

セキュリティの専門家であるロバート・ヒートン氏はある日、Stylishの不審な挙動に気付き、何を実行しているのかを調査してみました。その結果、Stylishが全てのブラウジングデータを収集しており、企業のデータベースに送信していることが判明したとのこと。

Stylishは2017年1月、オリジナルの開発者からイスラエルのサイト分析企業SimilarWebに売却されており、その時に新たな利用規約として「Stylishの機能改善のために、非個人データのみを収集している」という文言が追加されました。ところが、ヒートン氏によると、Stylishが収集してSimilarWebに送信していたのは非個人的データにとどまらず、登録制のWEBサイトにログイン可能なトークン付きURLや、ブラウザのCookieといった情報まで含まれていたそうです。

トークン付きのURLや非常に長い特殊なURLは、そのURLを知っている人間だけがアクセス可能な状況を想定していますが、閲覧したURL自体がデータとして収集されてしまえば、誰でもURLから秘密のサイトへアクセス可能になってしまいます。ヒートン氏はSimilarWebが個人を特定可能なデータを販売しなくても、セキュリティの不備からSimilarWebに収集されたデータが外部に流出してしまう可能性もゼロではないと警鐘を鳴らしています。

by Drunk Photographer

ヒートン氏がStylishのデータ収集を告発した後、FirefoxはStylishをブロックリストに追加したことを明らかにしました。今後はFirefoxからアドオンとしてStylishを追加することはできず、現在Stylishを追加しているユーザーも自動でStylishが無効化され、利用できなくなります。

・関連記事
「Firefox 61」正式版リリース、タブウォーミングの導入によりタブ切り替え後の応答速度が高速化 - GIGAZINE

FirefoxとThunderbirdの「マスターパスワード」は1分で破ることが可能と指摘される - GIGAZINE

正しいURLなのに偽のサイトへアクセスしてしまう事案が発生 - GIGAZINE

Facebookが「61の企業とユーザーデータを共有した」ことを認める - GIGAZINE

Gmailアプリの開発者はユーザーのメール内容を読んでいる - GIGAZINE

in ソフトウェア,   ネットサービス,   ウェブアプリ,   セキュリティ, Posted by log1h_ik