Google Chromeの人気の拡張機能「Adblock Plus」の偽物の拡張が公開されていたことがわかりました(MacRumors、スラド)。セキュリティ研究家@SwiftOnSecurityが指摘したもので、発見時には37,000件以上ダウンロードされていたとのことです。
Google allows 37,000 Chrome users to be tricked with a fake extension by fraudulent developer who clones popular name and spams keywords. pic.twitter.com/ZtY5WpSgLt
— SwiftOnSecurity (@SwiftOnSecurity) 2017年10月9日
拡張機能は、本物が「Adblock Plus」で、偽物は「AdBlock Plus」(Bが大文字)。提供元は本物が「adblockplus.org」で、偽物は「Adblock Plus」となっていた模様。
対してGoogleは状況を認識後、すぐにこの拡張を削除し、この拡張だけに限らず、今後Chrome拡張やアプリを安全に保つための改善策を考えていると発表しています。
More broadly, we wanted to acknowledge that we know the issue spans beyond this single app. We can’t go into details publicly about solutions we are currently considering (so as to not expose information that could be used by attackers to evade our abuse fighting methodologies), but we wanted to let the community know that we are working on it.
この単一のアプリケーションを超えて問題が広がっていることを認識しています。 現在検討している解決策について詳細を公表することはできませんが、コミュニティに対して取り組んでいることを知らせたいと考えました。
Googleの拡張機能は公式のChromeウェブストアからしかダウンロードすることができませんが、登録に必要な審査は自動化されていて、AppleのApp Storeのように人間による審査は行われていません。Appleがどのような改善策を考えているのか、注目を集めそうです。