Chromeの拡張機能をインストールする前にかならず確認すべきこと

今日、かなりのユーザーを抱えているChromeブラウザ用の拡張機能がマルウエアっぽい仕事をしているので、Googleさんに報告した。

具体的にはその拡張機能の開発元から「Did you try out: ….. from the Chrome Web Store?」といきなりリプライが来た。もちろんユーザー登録とか何もしてない、ただインストールしただけ。

でも、私自身がたまたまChrome拡張を開発したのでどうやったかが分かったわけで、そうではない人には、こういうセキュリティリスクがある拡張機能がどんなやつかが超わかりにくいのでまとめてみた。

インストールする前にかならず確認すべきこと!

拡張機能ギャラリー(https://chrome.google.com/webstore/)の中の各拡張機能の詳細ページの右側に以下のような記述があります。

この内容を必ず確認して下さい。

以下はリスクが高い順です!

All data on your computer and the websites you visit

この拡張機能は、パソコン内のすべての情報にアクセスできます。もちろんデータの送受信も可能です!
Googleのヘルプでもカメラや個人ファイルにアクセスできると警告しています。

ただし、これに該当する拡張機能はGoogleスタッフの手作業による審査を受けてパスしています。
したがって、拡張機能ギャラリー内で配布しているものに関しては、かえって安全かもしれませんが、万が一悪意があった場合にはもっとも大きな被害を受けうる拡張機能がこれに該当します。

Your data on all websites

この拡張機能は、パソコン内の個人ファイルにアクセスすることは出来ませんが、Chromeブラウザが開いている間はすべてのサーバーとの情報の送受信が可能です。

ちなみにどんなことができるかというと。。。

  • Twitter、Mixi、Facebook、Googleなどに順番にバックグラウンドでアクセスして情報を取得
  • 取得した情報を第三者のサーバーに送信

というようなことが、プログラマー歴1年未満の人でも数分考えれば作り方がわかるほど、簡単にできます。
(拡張機能は、クロスドメイン制約というセキュリティが働かないので、ホームページ上のプログラムより簡単といえるかも)

よく理解していただきたいのは、バックグラウンドでアクセスする際には、あたかもあなた自身がアクセスしたときと全く同じように処理されますので、ログイン済みで「クッキーを保存する」になっている場合は、あなたが閲覧できる全てを勝手に取得することができます。

さらに、この拡張機能に関してはGoogleスタッフの手作業による審査を受けていません。

インストールしたい拡張機能が「Your data on all websites」になっている場合は、レビューなどをよく確認してから慎重にインストールするべきです。

この場合も、万が一悪意がある拡張機能をインストールした場合は、非常に広い範囲の個人情報を盗まれる覚悟が必要です。
(tiwtterとmixiとfacebookに書いてることが、全部紐付けされたら、そりゃー丸裸じゃないですか?)

Your data on google.com

この拡張機能はgoogle.comとの情報の送受信ができるという意味で、google.comの部分はtwitter.comなど他のドメインの場合もあります。

この場合、情報をそのドメインのサーバーと自由に送受信できますが、他のサーバーとは送受信できませんので、仮にバックグラウンドでGoogleからデータを取得しても他に送ることができないため、安全であると言えます。(泥棒に例えると家に忍び込んでも外に出られない状態)

ただし、このドメインの部分には以下のように複数のドメインが書かれている場合があります。

Your data on ebay.com, ebay.co.uk and 17 other websites

上記の例では、17のドメイン名のサーバーとの通信が可能で、羅列しているサーバー間であれば、自由に情報を送受信することが可能です。

この場合、ユーザー側からは、どんな情報を取得されているかを判断することは非常に困難なため、一つ一つのドメイン名をよく確認して、すべてが信頼できるサーバーである場合にのみ、その拡張機能をインストールするべきです。

その他

上述の説明の中で紹介した画像の中にも「Your browsing history」との記述があります。
これは、ブラウザの履歴にアクセスしたり、現在まさに表示中のページの情報にアクセスできますよという意味です。

他にもいろいろあって、それぞれ潜在的なリスクはあると思うのですが、ここまでご説明した内容と組み合わさってリスクの大小が変化しますので、ここでは詳細は割愛します。

以下のページに詳しく書いてあります。

アプリケーション、拡張機能、テーマに必要な許可 – Google Chrome ヘルプ

This extension can accessがない

非常に少ないと思いますが、この場合は、最も安全な拡張機能であると言えます。
表示中のページに独自のスタイルを追加したり、通信を伴わないゲームがこれに該当します。

ただし、これには実は大きな罠があります

実はChromeブラウザでは拡張機能のインストール画面が、Windows用とMac用でそれぞれ違う画面に誘導されます。(2011/02/23現在)

しかも、Mac用の拡張機能ギャラリーでは、これまで述べたような情報が掲載されていません。
(念のため申し上げますが、Mac用もWindow用も拡張機能の中身は同じです。)

したがって、”This extension can access”がない場合はURLを確認して、正しいURLのほうで拡張機能を検索しなおしてください。

インストール時のポップアップ

拡張機能のインストール時には、上述の内容がポップアップで表示されます
はいはいみたいな感じで「インストール」をクリックしてしまいますが、再度確認することをおすすめします。

ところで!

このサイトで配布している二つの拡張機能は以下のように一つのドメインとだけ情報を送受信しますので、「忍び込んだはいいけど外に出られない状態」と言えますので、ご安心を!

最後に!

実はあのEvernoteでさえもYour data on all websitesだったりします。
でも、実際には表示中のページの情報は、ここまでの権限を要求しなくても”Your browsing history”という非常に限定的な権限で取れるし、ページのスクリーンショットならGoogleさんがAPIで用意してくれてます。

したがって、Your data on evernote.comだけで十分動作すると思うんですが、もし動作しないというなら。。。

というわけで、Googleは不必要に大きな権限を要求する拡張機能をもっとチェックするべきだと思います。