web-dev-qa-db-ja.com

Google Chrome=拡張機能がデータをリークしている場合、どうすればわかりますか?

多くのGoogle Chrome拡張機能は、ユーザーがアクセスするWebページのコンテンツを読み取るためのアクセス許可を必要とします。ユーザーは、特定のChrome拡張機能がデータをリークするかどうか、およびその程度を確認するにはどうすればよいですか? ?

chromedata-leakagebrowser-extensionsuser-education
32
gen

developer.chrome.com によると:

[Chrome拡張機能]は、HTML、JavaScript、CSSなどのウェブ技術に基づいて構築されています。

つまり、拡張機能の動作に影響を与える可能性のあるものはすべて、(バイナリではなく)プレーンテキスト形式で存在します。 Chromeを使用すると、 デバッグ拡張機能 を実行できるため、拡張機能の動作を簡単に確認できます。拡張機能の一部の動作が悪意のある可能性があるかどうか。

これには、ユーザーが上記のテクノロジーにある程度精通している必要があります。 特定の攻撃 があり、純粋にCSSを使用しており、データの引き出しに使用できます。 CSSの知識やこれらの攻撃の理解がなければ、自動生成されたCSSコードのメガバイトの中からそれらを特定することは困難です。

技術者でないユーザーは、このような分析を実行できない可能性があります。この場合、一般的なセキュリティアドバイスに従うと役立ちます。

  • 信頼できるソース(Chrome Web Store)からの拡張機能のみをインストールしてください)
  • 人気のある拡張機能は、不明な拡張機能よりも監査される可能性が高い
  • メリットがリスクを大幅に上回る拡張機能のみをインストールする
  • 拡張機能に必要な権限に注意し、それらの権限が要求されていることが理にかなっている場合
27
MechMK1

fiddler のような無料のプロキシを使用してブラウザのトラフィックを追跡すると、目を見張るものがいくつか表示されます。アクセスしたすべてのページの後に、見慣れないドメインへのアウトバウンドリクエストを確認できました。 Fiddlerで見慣れないリクエストのヘッダーを見ると、アクセスしたページのURLがわかります。原因を見つけるまで、chrome拡張機能を1つずつ無効にしました。開発者が収益化していることが判明しました- gitの問題レポートを参照 。..さらに、彼はコードをストアマニフェストに挿入して、gitリポジトリに表示されないようにします。これは、サードパーティのメンテナがコードへの権限を放棄したり、違反したりして、悪意のあるコードが既存のパッケージに導入される、かなり大きな「サプライチェーン」スタイルの攻撃ベクトルです。/extensions。

12
felickz

私はChromeブラウザのネットワーク(現在のウィンドウだけでなく)を操作します)の拡張機能を開発していました。何もしなくても、転送されるデータの数に驚きました。

次のコミュニケーションがありました:

  • 非アクティブなタブ
  • 閉じたタブ(Service Workerを使用)
  • 拡張

しかし、データの漏えいの原因や、拡張機能の動作に必要な通信の内容を特定することは困難です。トラフィックが多いからです。

3
iiic

Duo Securityのチームには、 https://crxcavator.io/ というプロジェクトがあります。 Chrome Webストアのすべてを定期的にスキャンしており、コード分析と、ストアの掲載情報にプライバシーポリシーのリンクを設定するなどの両方に基づいて、すべての拡張機能に「リスクスコア」を付与しています。

自分でそれらを評価する方法を知らなくても、信頼できる拡張機能の選択に大いに役立ちます。

1
ChrisG