- kankancank28207
- 170494
- 382
- 25
- 347
⚠️⚠️【注意喚起】⚠️⚠️ 今 Chrome に Get cookies.txt という拡張機能を入れている方、”””今すぐ”””アンインストールしてください!! ページ遷移すると Cookie からアクセスした URL から何からすべて外部サーバーに送られる凶悪スパイウェアになってます 怖過ぎる…😇😱 🔽 chrome.google.com/webstore/detai… pic.twitter.com/rVZJpGKwhc
2023-02-28 14:20:58Chrome Web ストアのレビューによれば少なくとも1ヶ月以上前からスパイウェアに変わっていたらしく、人生のすべてが外部に筒抜けになってしまい、あっけなさすぎて呆然…… yt-dlp 使ってる人は特に入れてそうなので要注意!!! あと不正報告しとこう!!! chrome.google.com/webstore/detai… pic.twitter.com/e2aFEkI6VS
2023-02-28 14:20:59おそらく1ヶ月間のほぼすべての Web ブラウジング履歴と Cookie が外部サーバーに抜かれていたことが判明し、マジで人生終わったかもしれねぇ…になってる 抜かれた先で悪用されないことを祈るしかないが…… これパスワードとか全部変えといた方がいいやつ? でもセッションも漏れてるし、𝑬𝑵𝑫
2023-02-28 14:27:19こちらの記事いわく1/12のバージョン 1.5 からスパイウェア化されたそう 速攻アンインストールしたので挙動はあまり調べられてないんだけど、(おそらく) XHR では作動せず URL が変わったタイミングでしか送信されないのが不幸中の幸いか…🥺 いずれにせよあまりに凶悪 news.hada.io/topic?id=8316
2023-02-28 14:33:55とりあえず私のようにインストールしていて人生が終わってしまった人は、緩和策としてブラウザの Cookie 全消しして再ログインすることをお勧めします パスワードも抜き取られてるかもだけどひとまず簡単な方から……
2023-02-28 14:36:54焦って Cookie を全削除するのではなく何が漏れたかの影響範囲を特定するための極めて大事な情報として保存したほうが良いです twitter.com/izutorishima/s…
2023-02-28 20:58:40入ってたけど、無効になってたからセーフ(?) pic.twitter.com/e0RxJ1duCs twitter.com/izutorishima/s…
2023-02-28 22:32:29このサイレント変更はアウトすぎる… この拡張インストールしてるプロファイルあるし、今からパスワード変更してまわります😇(遊び用プロファイルだけだったのが救い) twitter.com/izutorishima/s…
2023-02-28 21:55:15UUIDを生成してくっつけて送る、とかはしてないみたいので、送られたデータではIPの連続性と利用環境の一致でしかドメインを跨いだユーザーのトラッキングはできなさそう。 まあ十分致命的なんですが
2023-02-28 22:14:45この拡張の挙動眺めてる限り、ページ遷移の際のPOSTのボディを送る挙動は確認できなかったので、生パスワードやカード番号まで送られてる可能性は低そうに見える。
2023-02-28 22:52:33おうち帰ったので改めて拡張機能のページ見てみたところ、2月18日付でプライバシーポリシーが編集されていてデータ送信の目的とかについても記載されてた。 ‘Display HTTP header’機能をオフにすれば送信されない、ログは72時間で消される、と書いてるけど証拠はないしねぇ。 docs.google.com/document/d/1cZ… twitter.com/izutorishima/s…
2023-02-28 21:24:31拡張プラグインとか公開されてるアプリもやりようによっては第三者によって大混乱に… とくにアプリは、↑のLastpassもあったばかりで 自由な公開の場が火薬庫にならなければ良いけど… twitter.com/izutorishima/s…
2023-02-28 21:03:04薄々事情が分かってきた。 Chrome拡張機能は、Manifest V3に移行する必要があるのだが、そうすると拡張機能は他ドメインへの通信を傍受できなくなり、cookieを取得できなくなるっぽい。そこでGet cookies.txtは、自ドメインにcookieを送ることで回避するようにしたらしい。
2023-02-28 20:57:28これらの事情は、拡張機能のレビューに対し、(たぶん)開発者が返信という形で説明してるんだけど、Chrome拡張機能のレビューってユニークリンクないので困るねえ。 Sophie Hamilton氏による2023/01/13のレビューのツリー参照。 chrome.google.com/webstore/detai…
2023-02-28 21:06:15ていうか、拡張機能の「プライバシーポリシー」に、閲覧履歴をGet cookies.txt APIに全部送るよ、ってちゃんと書いてあるな。(2/18更新とあるので、言われて追加した可能性は大) docs.google.com/document/d/1cZ…
2023-02-28 21:13:57色々思うことはあるけど、Manifest V3、セキュリティ向上を目指してやってるはずなのに、不自由を感じた拡張機能作者によって、こういう形でバイパスされるならなんも意味ないな。
2023-02-28 21:19:10@mutaguchi Manifest V3でもwebRequestは使えるみたいです。よく調べると「ブロック機能(広告ブロックに使われる)がV3で廃止」であって、データを見るだけならv3でも動くみたいです。 そうなると作者がなんで自ドメインのリクエスト送ってるのか謎ですが・・ pic.twitter.com/0CFFqhkZ6z
2023-02-28 23:25:45これ、よく見たらChromeウェブストアに載っているプライバシーポリシーに、訪問したURLとHTTPヘッダーをGet cookies.txt APIに送信すると明記されていた。書けば良いってものじゃないが、これでストアの審査をすり抜けたのかも... pic.twitter.com/ospfTmp8Xz twitter.com/izutorishima/s…
2023-02-28 21:07:05