2000件以上のGoogle Chrome向け拡張機能がセキュリティを低下させているという指摘

「Chromeウェブストア」で配布されている拡張機能の中には、広告ブロッカーを装ったマルウェアや、個人情報を盗み出す拡張機能などの不正な拡張機能が多く含まれていることが報じられてきました。新たに、セキュリティに関する研究団体CISPAの調査によって、2000件を超えるGoogle Chrome向け拡張機能にセキュリティヘッダーを改ざんする機能が搭載されていることが判明しました。
madweb21-paper16-pre_print_version.pdf
(PDFリンク)https://madweb.work/preprints/madweb21-paper16-pre_print_version.pdf

Thousands of Chrome extensions are tampering with security headers | The Record by Recorded Future
https://therecord.media/thousands-of-chrome-extensions-are-tampering-with-security-headers/
ウェブサイトにアクセスする際、ウェブブラウザはHTTPSでの通信を要求するHTTP Strict Transport Security(HSTS)や、外部からの攻撃を軽減するコンテンツセキュリティポリシー(CSP)などのセキュリティヘッダーをサーバーから受け取っています。これらのセキュリティヘッダーは、数多くのウェブサイトに採用されていますが、攻撃者の標的になることもあります。そこで、研究チームは「HSTS」「CSP」「X-Frame-Options」「X-Content-Type-Options」の4種類のセキュリティヘッダーを対象に、Google Chromeの拡張機能による影響の有無を調査しました。
調査の結果、Chromeウェブストアで配布されている18万6434件の拡張機能のうち、2485件の拡張機能が少なくとも1種類のセキュリティヘッダーに変更を加えていることが判明。さらに、553件の拡張機能では、4種類全てのセキュリティヘッダーに変更を加えていることが明らかになりました。

変更を受けているセキュリティヘッダーの内訳はこんな感じ。最も多くの変更を加えられているセキュリティヘッダーはCSPで、その他のセキュリティヘッダーも1000以上の拡張機能から変更を加えられていることが分かります。

研究チームによると、ほとんどの拡張機能によるセキュリティヘッダーの変更はユーザーの体験向上を目的としたもので、悪意のあるものではなかったとのこと。しかし、研究チームは「セキュリティヘッダーに変更を加えると、ユーザーを攻撃の危険にさらす可能性があります」と述べ、セキュリティヘッダーを改ざんすることに異を唱えています。
・関連記事
ブラウザに拡張機能をインストールするだけで他人のアクセスを許可してしまう「Infatica」とは? - GIGAZINE
500個ものChrome拡張機能が個人情報を盗んでいたことが判明、被害者は170万人を超える - GIGAZINE
Chromeの広告ブロッカー拡張機能を装ったマルウェアの存在が判明、すでに2000万回以上ダウンロード済 - GIGAZINE
Googleが個人情報を盗み出す悪質な200のChromeアドオンを削除 - GIGAZINE
Chrome拡張機能はウェブページを表示する際のパフォーマンスにどれほど影響しているのか?100の拡張機能を調査した結果がコレ - GIGAZINE
Chrome拡張機能のセキュリティを回避するマルウェア登場 - GIGAZINE
・関連コンテンツ
in ソフトウェア, セキュリティ, Posted by log1o_hf
You can read the machine translated English article More than 2000 extensions for Google Chr….