多くのMozillaFirefoxおよびGoogleChromeユーザーが使用しているスタイリッシュな拡張機能は、セキュリティ上の懸念からプラグインリポジトリから削除されました. プラグインがその背後にある会社にプライベートユーザーデータを報告することを報告したブロガーによって、危険なプライバシーリークが暴露されました.
FirefoxとGoogleChromeリポジトリは、セキュリティ上の懸念を引用するスタイリッシュな拡張機能を削除します
Stylishは、ほとんどのWebブラウザで利用できる最も人気のある拡張機能の1つです。. これにより、ユーザーは人気のあるWebサービスやサイトのルックアンドフィールをカスタマイズできます。. これは、インターネットから無料でダウンロードできるテーマをインストールすることによって行われます。.
拡張機能がWebブラウザ開発者によって削除された正確な理由は、次のように述べている専門家によるasTOレポートです。 拡張機能はスパイウェアインスタンスにバンドルされています. これは、1月以降に使用しているすべてのユーザーを意味します 2017 個人データを収集する.
Stylish拡張機能はSimilarWebによって取得されており、レポートによると、データベース内の個人のWebサイトインタラクションのプロファイルを作成および維持しています。. テーマサイトでアカウントを作成したすべてのユーザーは、特定のトラッキングCookieにリンクされます. インストールされているすべてのバージョンも作成されます 一意のユーザー識別子, 彼らがアクティブなアカウントを持っているかどうか. この動作の意味するところは、SimilarWebには、ユーザーアカウントの電子メールアドレスに関連付けることができるすべてのWebブラウザーコンテンツの完全なコピーがあるということです。. これにより、拡張オペレーターは次のデータにアクセスできます:
- ブラウザの履歴
- ブラウザのブックマーク
- ブラウザのCookie
- ブラウザの設定
専門家はブラウザの履歴が乗っ取られたと明示的に述べていますが, 同じコードを使用して、上記のCookieなどのデータに含まれる他のすべてのコピーを取得できます, 設定、さらにはパスワードのクレデンシャル.
Stylish拡張機能が履歴にアクセスできるという事実は、オペレーターが認証トークンも取得できることを意味します. これらは、ユーザーをログインするために多くのサイトで使用されています. 情報がリアルタイムで転送される場合、このトークンを使用すると、SimilarWebおよびStylishオペレーターが自分のアカウントにアクセスできるようになる可能性が非常に高くなります。.
もう1つの主要なセキュリティリスクは、有効期限のあるページを表示するために一部のインターネットサービスで使用される秘密の長いURLの収集です。. 専門家は、このようなリンクを使用することで、これを使用するサーバーでホストされているプライベート医療ファイルにアクセスできると報告しました。 (の)安全な認証メカニズム.
ユーザーの追跡動作はデフォルトでオンになっていますが、無効にしてもすべての追跡動作が停止しない場合があります.
Mozilla Firefox Bugzilla (バグ追跡ソフトウェア) エントリは、次のメッセージを読み取ります:
レビューポリシーで概説されているデータ慣行に違反しているため、ブロックすることにしました.
MozillaFirefox通知メッセージ
これにより、プラグインがすでにインストールされているMozillaFirefoxユーザーが通知メッセージを受信するようになりました. ブラウザのセキュリティと安定性に問題があることを示しており、ユーザーにスイッチをオフにすることをお勧めします.
Google Chromeリポジトリリンクからアクセスすると、 404 エラー 削除されたことを示す. 完全なレポートは ここで利用可能.
GoogleChromeWebストアの通知
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: