Googleの警告により100万以上のユーザーを抱えるChrome拡張機能が配信停止の危機にさらされる
by Sean MacEntee
Googleは2018年に、Chromeウェブストア以外で配信されるChrome拡張機能のインストールを不可能にしたため、現在はChromeウェブストアがChrome拡張機能を手に入れることができる唯一の場所となっています。記事作成時点で100万人以上が利用しているというChrome拡張機能「Pushbullet」が、Googleの警告によりChromeウェブストアから閉め出される危機にあったと自身のブログで報告しています。
Let's Guess What Google Requires In 14 Days Or They Kill Our Extension | Pushbullet Blog
https://blog.pushbullet.com/2020/05/13/lets-guess-what-google-requires-in-14-days-or-they-kill-our-extension/
Our Chrome Extension Is Safe | Pushbullet Blog
https://blog.pushbullet.com/2020/05/15/our-extension-is-safe/
Let's guess what Google requires in 14 days or they kill our extension | Hacker News
https://news.ycombinator.com/item?id=23168874
2020年5月に入って、Pushbulletの開発チームはGoogleから「Pushbulletはプライバシーに関する規約に違反しているので、拡張機能に与える権限を最小限のものにしてください。改善が見られない場合は、14日後にChromeウェブストアによるPushbulletの配信を停止します」という旨のメールを受け取ったとのこと。開発チームのアカウント凍結も示唆する内容が含まれており、開発チームはショックを受けたと語っています。
GoogleはPushbulletに対し「権限の使用」に関する問題を指摘し、拡張機能の権限は機能の実装に必要な最低限のものに絞るべきだとメールで案内していたので、開発チームは権限の見直しに取り組むことに。Pushbulletが使用していたのは「開いているタブ」「アクティブなタブ」「コンテキストメニュー」「Cookie」「通知」「アイドル」「https://*/*」「http://*/*」へのアクセス権限で、ユーザーの許可に応じて「バックグラウンド動作」「クリップボードの読み書き」も使用するよう設計されていました。
Googleの警告の原因となった過剰な権限は、ユーザーの許可が必要な「バックグラウンド動作」「クリップボードの読み書き」へのアクセス権限以外の、すべてのユーザーに必須の権限だと開発チームは考えました。そこで、すべてのドメインにアクセス可能である「https://*/*」「http://*/*」へのアクセス権限を「https://*.pushbullet.com/*」「http://*.pushbullet.com/*」「http://localhost/*」へのアクセス権限に絞ったほか、機能を少し犠牲にして「開いているタブ」へのアクセス権限を削除するといった改善を施し、Googleに新しいバージョンを提出したとのこと。
by GotCredit
24時間後にGoogleから審査結果が返ってきましたが、残念ながら結果は「却下」でした。Googleから改善が必要な箇所についての具体的な指示がなかったため、開発チームはGoogleに問い合わせましたが、返答はなかったとのこと。審査結果が返ってきた時点で、PushbulletがChromeウェブストアから排除されるまで残り7日でした。
開発チームは「https://*.pushbullet.com/*」へのアクセス権限を「https://www.pushbullet.com」に絞る必要がある可能性や、Android 10以降はバックグラウンドのアプリがクリップボードの読み書き権限を持つことを禁止していることから、ユーザーの許可が必要な権限である「クリップボードの読み書き」も削除すべきである可能性も考慮したとのこと。しかし、Googleから修正が必要な箇所を明確に指示されていない中で何度も修正バージョンを提出すると、審査の「抜け穴」を探しているとGoogleのシステムに勘違いされ、アカウントを凍結されてしまう恐れがあります。
一連の出来事をPushbulletがブログで報告した後、状況は一転。Chrome拡張機能のアドボケイトであるGoogleのサイモン・ヴィンセント氏がTwitterにて、Pushbulletが審査を通過したことを報告。提出された修正バージョンを当初は却下してしまったことを謝罪しました。
FYI the latest submission has been approved. Apologies to Pushbullet for the rejection after addressed the original violation & to the broader dev community for not providing more actionable rejections ????https://t.co/b7Au7Mjppn
— Simeon.__proto__ (@DotProto) May 14, 2020
Pushbulletも自身のブログで審査の通過を報告し、「今回の件が、同じようにGoogleのあいまいな対応で苦しんでいる他の拡張機能開発者にいい影響を与えることを願っています」とコメント。海外のIT系ニュースサイト「Hacker News」では、「審査を自動化されたシステムで行っているのではないか」「審査の基準が不明瞭であり、Googleは改善が必要な点を開発者に対して明確に指示すべきだ」といった声が上がっています。
・関連記事
Google ChromeでChromeウェブストア以外から拡張機能をインストールする機能が廃止に - GIGAZINE
500個ものChrome拡張機能が個人情報を盗んでいたことが判明、被害者は170万人を超える - GIGAZINE
Chromeアプリのサポートが段階的に終了、今後はオープンウェブ標準なアプリへ移行 - GIGAZINE
Chromeウェブストアのルールが改訂、ユーザーがより安全にChrome拡張機能を利用できるように - GIGAZINE
・関連コンテンツ