悪意あるコードが仕込まれたChrome拡張機能が大量に発見される

2023年6月2日 19時0分

セキュリティ研究者で、有名な拡張機能「AdBlock Plus」の元開発者でもあるウラジミール・パラント氏が、Chromeウェブストアにある多数の拡張機能に難読化された悪意あるコードが含まれていたことを発表したと報告しました。

More malicious extensions in Chrome Web Store | Almost Secure

https://palant.info/2023/05/31/more-malicious-extensions-in-chrome-web-store/

パラント氏が最初にこの問題を発見したのは、PDFファイルの編集や結合などの機能を持つ「PDF Toolbox」という拡張機能です。200万人以上のユーザーと「4.2」の評価を得ていたこの拡張機能は、表面的には何の変哲もない拡張機能でしたが、アドウェアを配布している「serasearchtop[.]com」というドメインにアクセスし、ブラウザで訪問したあらゆるサイトに任意のJavaScriptコードを挿入する機能を持つことが、パラント氏の詳細な分析により判明しました。

しかし、この拡張機能には広範な権限の要求を正当化するために実装されたPDF変換機能や、無害なデータに見せかけて不審なファイルをダウンロードする偽装コード、すぐにはリクエストを出さないようにして検知を回避する仕組みなどが備わっており、この問題は少なくとも1年間は誰からも気づかれないままだったとのこと。

実際に悪意あるコードが動作しているのを確認することはできなかったので、開発者が多大な努力を費やして悪意あるコードを難読化した目的は不明ですが、パラント氏は「おそらく広告を仕込むか、仮想通貨のマイニングコードを挿入するなどして、Chromeウェブストアのポリシーで禁止されている『拡張機能の収益化』をするためではないか」と推測しています。しかし、これはあくまで予想で、理論的にはどのようなことでも可能になっていました。

パラント氏は2023年5月16日のブログ投稿でこの問題について公開し、複数の経路でGoogleに報告しましたが、5月31日になっても依然として拡張機能は公開されたままで、記事公開以降も多くのユーザーを獲得し続けていました。さらに、ブログの読者からの情報提供で「serasearchtop[.]com」にアクセスする拡張機能が他にも見つかり、最終的には34の悪意ある拡張機能が特定されました。Chromeウェブストアにあるすべての拡張機能を精査することは不可能なので、悪意ある拡張機能が他にも存在する可能性は高いとパラント氏は指摘しています。

ただ、調査対象のサンプル数増加により、開発者の狙いがある程度判明しています。パラント氏は、「Image Download Center」という拡張機能に寄せられた2021年のレビューに、検索ページをリダイレクトしているとの苦情があることを発見しました。

また、「OneCleaner」という拡張機能にも同様のレビューが寄せられています。とはいえ、2021年当時は検索ページのリダイレクトで稼いでいたからといって、今でも同様とは限らないとパラント氏は警告しました。

幸いなことに、Googleは6月1日になってから「PDF Toolbox」を含む問題の拡張機能を次々と削除しており、記事作成時点では8つの拡張機能だけがストアページに残されるのみになりました。パラント氏によると、残りもすぐに対応される予定とのことです。

パラント氏らが「悪意ある拡張機能」として特定した拡張機能の一覧は以下の通り。名称に取り消し線が入っているものは、記事作成時点では削除されているものです。

拡張機能の名称週間アクティブユーザー数拡張機能のIDAutoskip for Youtube9,008,298lgjdgmdbfhobkdbcjnpnlmhnplnidkkpSoundboost6,925,522chmfnmjfghjpdamlofhlonnnnokkpbaoCrystal Ad block6,869,278lklmhefoneonjalpjcnhaidnodopinibBrisk VPN5,595,420ciifcakemmcbbdpmljdohdmbodagmelaClipboard Helper3,499,233meljmedplehjlnnaempfdoecookjenphMaxi Refresher3,483,639lipmdblppejomolopniipdjlpfjcojobQuick Translation2,797,773lmcboojgmmaafdmgacncdpjnpnnhpmeiEasyview Reader view2,786,137icnekagcncdgpdnpoecofjinkplbnocmPDF toolbox2,782,790bahogceckgcanpcoabcdgmoidngedmfoEpsilon Ad blocker2,571,050bkpdalonclochcahhipekbnedhklcdnpCraft Cursors2,437,224magnkhldhhgdlhikeighmhlhonpmlolkAlfablocker ad blocker2,430,636edadmcnnkkkgmofibeehgaffppadbnbiZoom Plus2,370,645ajneghihjbebmnljfhlpdmjjpifeaokcBase Image Downloader2,366,136nadenkhojomjfdcppbhhncbfakfjiabpClickish fun cursors2,353,436pbdpfhmbdldfoioggnphkiocpidecmbpCursor-A custom cursor2,237,147hdgdghnfcappcodemanhafioghjhlbpbAmazing Dark Mode2,228,049fbjfihoienmhbjflbobnmimfijpngkpaMaximum Color Changer for Youtube2,226,293kjeffohcijbnlkgoaibmdcfconakaajmAwesome Auto Refresh2,222,284djmpbcihmblfdlkcfncodakgopmpgpghVenus Adblock1,973,783obeokabcpoilgegepbhlcleanmpgkhcpAdblock Dragon1,967,202mcmdolplhpeopapnlpbjceoofpgmkahcReadl Reader mode1,852,707dppnhoaonckcimpejpjodcdoenfjlemeVolume Frenzy1,626,760idgncaddojiejegdmkofblgplkgmeipkImage download center1,493,741deebfeldnfhemlnidojiiidadkgnglpiFont Customizer1,471,726gfbgiekofllpkpaoadjhbbfnljbcimohEasy Undo Closed Tabs1,460,691pbebadpeajadcmaoofljnnfgofehnpeoScreence screen recorder1,459,488flmihfcdcgigpfcfjpdcniidbfnffdcfOneCleaner1,457,548pinnfpbpjancnbidnnhpemakncopaegaRepeat button1,456,013iicpikopjmmincpjkckdngpkmlccholdLeap Video Downloader1,454,917bjlcpoknpgaoaollojjdnbdojdclidkhTap Image Downloader1,451,822okclicinnbnfkgchommiamjnkjcibfidQspeed Video Speed Controller732,250pcjmcnhpobkjnhajhhleejfmpeoahclcHyperVolume592,479hinhmojdkodmficpockledafoeodokmcLight picture-in-picture172,931gcnceeflimggoamelclcbhcdggcmnglm

パラント氏は、自身のブログ記事を取り上げたソーシャルニュースサイト・Hacker Newsのスレッドに降臨し、「Googleはかなり前から拡張機能の不正使用を制限することを目的としたポリシー変更を導入しています。しかし、そのポリシーを効果的に実施しない限りは、何の役にも立ちません。これらの拡張機能は、少なくとも2年以上前から存在しており、当時からずっとGoogleのポリシーに違反していましたが、Chromeウェブストアに残ったままでした」と述べて、不要な権限の要求を禁止するポリシーを始めとする各種の規則が徹底されていないことを指摘しました。