ブラウザ拡張機能は、ユーザーが Web ブラウザをカスタマイズおよび強化するのに役立つソフトウェア アドオンであり、非常に人気があります。最もよく使用される拡張機能には、ショッピングのセールを見つけたり、文法やタイプミスを修正したり、パスワードを管理したり、Web ページを翻訳したりするものがあります。利用可能な拡張機能の種類はほぼ無限にあり、その多くはビジネスや日常ユーザーにとって不可欠なツールとなっています。

これらの拡張機能は、Web ブラウジングをよりアクセスしやすく、生産性が高く、価値のあるものにしますが、リスクがないわけではありません。ジョージア工科大学の新しい調査により、何千ものブラウザ拡張機能が重大な脅威をもたらしていることが明らかになりました。プライバシーそして数百もの Web ページ内からプライベート ユーザー コンテンツが自動的に抽出され、何百万もの Web ページに影響を与えます。インターネットユーザー。

サイバーセキュリティ・プライバシー学部と電気・コンピュータ工学部の助教授で博士号を持つフランク・リー氏が率いる。学生の Qinge Xie 氏の研究チームは、ブラウザ拡張機能が Web ページからユーザー コンテンツを収集するかどうか、またその方法を監視する新しいシステムを開発しました。

このチームには、サイバーセキュリティおよびプライバシー学部とコンピューターサイエンス学部の助教授であるポール・ピアース氏と、ジョージア工科大学の修士号を取得したマノイ・ヴィグネシュ・カシ・ムラリ氏も含まれています。卒業生が発表しました研究論文でUsenix セキュリティ シンポジウム、8月に開催されたサイバーセキュリティカンファレンス。

「以前の調査から、ブラウザ拡張機能がユーザーのブラウザアクティビティと履歴を収集することはわかっていますが、最も機密性の高い情報の一部はユーザーデータリー氏は、「電子メール、ソーシャルメディアプロフィール、医療記録、銀行情報などのWebページ内に存在します。拡張機能も収集しているかどうかを知りたかったのです」と述べた。個人データこれらのウェブページから。」

チームは、拡張機能が Web ページからユーザー データを自動的に抽出するかどうかをテストする Web フレームワーク Arcanum を設計しました。彼らはこのシステムを使用して、Chrome ウェブストアで入手可能な 100,000 を超えるすべての機能拡張を調査しました。具体的には、このシステムを使用して、機密情報が含まれていることが知られている 7 つの人気のある Web サイト (Amazon、Facebook、Gmail、Instagram、LinkedIn、Outlook、PayPal) から拡張機能がユーザー データを抽出したかどうかを監視しました。

研究者らは、ブラウザ拡張機能により潜在的に機密データや個人データが収集されることが蔓延していることを観察しました。彼らは3,000以上を特定したブラウザユーザー固有のデータを自動的に収集する拡張機能は、数千万のユーザーに影響を与えます。200 を超える拡張機能が Web ページから機密ユーザー データを直接取得し、サーバーにアップロードしました。

ブラウザ拡張機能は、正当な理由でユーザー データを収集することがあります。たとえば、収集されたデータが拡張機能の機能や目的に関連している場合などです。このため、拡張機能のデータ収集動作の背後にある意図を特定するのは困難な場合があります。

さらに調査するために、研究者らはフラグが立てられた拡張機能のサンプル グループを採取し、各拡張機能のデータ収集動作を比較しました。プライバシーポリシーおよび Web ストアの説明。これは、拡大が使用され、どのような情報が収集されるか。これにより研究者らは、拡張機能が機能の一部としてデータを自動的に収集することをユーザーが合理的に期待しているかどうかを調査することができました。

このサンプル グループでは、プライバシー ポリシーや Web ストアの説明にユーザー データの自動収集について明確に記載しているグループが 1 つもなかったことを研究者は発見しました。

「残念なことに、Web ブラウジング体験を豊かにするために拡張機能が依存しているのと同じ機能が、ユーザーのプライバシーを侵害するために悪用される可能性があり、場合によってはユーザーの認識や明確な同意なしに」と Xie 氏は述べています。「データ収集が無害で正当な機能に必要な場合でも、プライバシーのリスクが生じます。機密性の高いユーザーデータはサードパーティによって送信および保存される可能性があり、そのデータがさらに共有されたり、データ侵害時にデータが漏洩する可能性があります。」

研究者らによると、今回の調査結果は、Googleのような企業が拡張機能に対してより厳格なプライバシーポリシーを策定するか、既存のポリシーをより広範囲に適用する可能性があることを示唆しているという。ユーザーの機密データが収集されている大手企業も、顧客を保護する措置を強化する可能性がある。

「個々のユーザーは、何が起こっているのかを把握する能力や技術的知識を持っていない可能性があるため、プライバシーを心配したり、データを保護したりする負担を負う必要はないと考えています」とリー氏は述べた。「この種の取り組みの目標は、データ収集に影響を与える可能性のある組織や利害関係者にこれらの問題を提起し、ユーザーのプライバシーを強化するための指針となることを期待することです。」