HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog

疑惑どころか 99.99% くらい黒な話。 （後記：セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい） 追記：続報 11月3日 今回指摘した HTTP Headers 以外にも、「Tab Manager」「Give Me CRX」「Live HTTP Headers」等で同様（？）の問題が報告されています。第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様（？）。皆さま情報ありがとうございます。 11月4日 Zaif については、「不正な Chrome 拡張」と「スクリプトから保護されていなかったクッキー」のコンボによりセッションが盗まれていた可能性あり。 Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog

[psne]

有名な拡張機能を買収→マルウェア化という話は時々聞きます。 ／ id:TakahashiMasaki お気に入りバーという名前ではありませんが、→ f:id:psne:20161103104343p

[t-sat]

firefoxでも、そこそこ使われてるいくつかの拡張の作者がごっそり怪しげな会社に入れ替わってた事が有ったなあ…。

[criticabug]

拡張の通信先ホストは列挙されたのの許可制にしてほしい。ユーザの多さは安全性の目安にならずむしろ乗っ取る動機

[kei_1010]

Zaifも優秀だな。それともあからさまに変な送金だったのかな。

[taroline]

送金とかはctr + shift + nでシークレットウィンドウ使うよ

[Palantir]

httpsも無意味化されるよなぁこれやられると

[frozen_faithjp]

Live HTTP Headersでやられました。幸いプライベートのパソコンで助かった 。10/30の15時頃にchromeのdeveloper toolで不正な javascriptが読み込まれなくなっていて、調査したら同じURLに送信でしたので、真っ黒ですね。

[naqtn]

幾つか他のも同時にやられているみたい。 Tab Manager https://www.reddit.com/r/help/comments/4tquap/hitting_collapse_comment_icon_button_is/ Give Me CRX https://forums.dolphin-emu.org/Thread-give-me-crx-chrome-extension-contains-virus

[cubick]

過去にも拡張機能がいつの間にか企業に買収されて挙動が怪しく…みたいな話はちょいちょいあるし。

[t-tanaka]

一応、ネットショップ用とネットサーフィン用でブラウザはわけてはいるが。怖いよなあ。

[ginpei]

著名なソフトウェアを第三者が買い取り、マルウェア化した話。本件のように自動更新されると特に気付きづらい。

[joint1]

　"インストール時は無害、そのごアップデート経て有害化していく場合どうしたらいいのかとか、

[led-centipede]

“.Blob”

[rochefort]

全閲覧ページで任意JavaScriptスクリプト実行されるってかなりやばい

[rikochanhayatokun]

めちゃめちゃ怖い話ですね。

[he4ts]

余分な拡張機能を削除するいい機会になった

[touhumog]

丁寧な原因解析でありがたい、たしかに入れた時点では無害でもアップデート時に悪いものが交じりこむ可能性は無きにしも非ずですね...特に拡張機能なんかはそれが簡単にできそうだから気を付けようがなさそう...

[Amarron]

原因を解析しているのがすごい！Chromeの拡張は便利だけど色々無料という事は、危険が簡単に入るという事なのかも知れない。気をつけます！

[airj12]

怖い

[fn7]

ついに

[fashi]

これは気付けないな…

[labocho]

ひー。拡張って外部との通信は制限かけられないのかな (調べてない)。

[adsty]

あるChrome拡張がいつの間にかマルウェアになっていた。

[YQsan]

こわい

[eagleyama]

“第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様（？）”

[ysync]

ほんと自動アプデとか好きになれん。／デフォルトブラウザの無拡張chromeとネットサーフィン用の重装備chromeは一応分けてるけど。

[gigi-net]

こわすぎ

[richard_raw]

「第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様（？）。」ひええー。拡張機能を入れまくっていたので精査しないと！

[securecat]

拡張も本家公式系のしか入れないようにするっていうくらいしかなさそうだな

[mumincacao]

自動あっぷでーとで不正なこーど埋め込まれるっておはなしはときどき聞くけど買収からの埋め込みだと署名確認してもさっぱりだしこわいおはなしですの・・・ （´・ω・`；【みかん

[georgew]

第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様 > 自衛策どうしたらいいのだろう。拡張機能ブラウズは仮想環境でサンドボックス化ぐらいしか思いつかん。

[rryu]

たとえ署名されていても署名ごと譲渡されたらどうにもならないわけだし、ソフトウェアを信頼するにはどうしたらいいのだろう。

[shaw]

この手の拡張機能の導入には気をつけないとなぁ…。google謹製のデベロッパーツールで出来ないことには手を出すべきじゃないのかもな。

[long_long_float]

extensionは手放しで信用してはいけない(戒め)

[rjge]

“任意JavaScriptが実行されうる注入コードがアイコン画像の中に埋め込まれていた”

[nohako]

！！(ΦωΦ)

[stealthinu]

HTTP Headersでアップデート時にマルウェア機能を注入されているという話。他にも結構有名なプラグインで同様の問題が起きているらしいとの報告が。

[isaisstillalive]

"「インストールした時点では無害」でも「どこかのアップデート時点で悪意のあるコードが注入される可能性」"

[ionis]

いつかマルウェアに変わってると気付き難いって話。

[neunzehn]

“自分が保有する Zaif の口座から 3.5 BTC (約25万円相当) が不正に送金されそうになっていた。・・・Zaif から調査結果報告があり、原因としてはログインセッション情報を何かしらの手段により盗まれた可能性”