ブログ mig5.net のMiguel Jacqさんの記事によると、Chromeブラウザ用のスクリーンショット・ツールとして有名な Awesome Screenshot 拡張に、ユーザーの同意無しにユーザーがどのページに訪問したかをネットのどこかに送信する機能があるようです。
Jacq さんは、自分が管理するOSSECのサーバー上の Drupal の、ログインしないとアクセスできない管理画面の複数のURLに対して、”niki-bot”という名前のbotがアクセスしてくるのをアクセスログから発見しました。
外部から知りえないURLがアクセスされるからには、メンバーの誰かのクライアント側からURL情報が外部に漏れているのはと考えたチームは、内部で使われているブラウザ拡張を精査し、Diigo社のChrome拡張Awesome Screenshot がURLをネットに対して送信していることを見つけた、ということです。
このAwesome Screenshot拡張、ブラウザ上で画面を画像として保存できる拡張機能で、日本語化もされています。メインの機能自体は使いやすいと評判が良いようで、日本語で推薦するブログ記事もいくつも見つかります。
しかし、この拡張をオンにしてウェブを閲覧していると、見ているページのURLが、Base64 エンコードを(なぜか2度)掛けて ld.crdui.com というドメインへ送られているというのです。
無関係なサーバに閲覧履歴を送る、なんてことをしているからには、当該部分のコードは、当然難読化されているのかと思いましたが、拡張のソースコードを見てみると tr.js というファイル中で送り先のURLや情報を送信するコードが隠されもせずに普通に読める形で書かれていますね。
SimilarWeb の元データ?
こちらのページでは、このAwesome Screenshot 拡張が7つもの外部のサーバにアクセスしていることを問題にしていますが、lb.crdui.com もこの7つのうちの1つで、webovernet.com にリダイレクトします。このwebovernet.com は SimilarWeb のサイトだと主張している人が複数います。
SimilarWeb は、「このサイトを見ている人はこちらのサイトも見ています」というのを調べたりできるwebサイトです。サイトのページビューや訪問者数などの推測データも出してくれる数少ないwebサービスですが、以前から、どうやって色々なサイトのアクセス数などをそこそこ正確に推測できているのか、不思議に思われていました。
もし、Awesome Screenshot などのブラウザ拡張が SimilarWeb にユーザーのアクセスしたURL情報を横流ししているとすれば、サイトのトラフィックを推測できるのも道理です。
冒頭のbot、niki-bot の使っていたIPアドレスが、以前にSimilarWeb.com の使っていたアドレスだったという証拠も出てきました。
以上から、niki-bot = crdui.com = SimilarWeb が同じ運営者によるものという可能性は高いでしょう。
スクリーンショットを撮るために、どうして訪問したサイトのURLを外部に送信しなければいけないのか、Awesome Screenshot のインストールページには説明がありませんし、このURL送信を止めるオプションも無いようです。
パスワードなどの認証ではなく、URLのアドレスをランダムで長い文字列にすることによって関係者にしか開かれないページを作ったり共有したりできるサービスも多いですが、こういった擬似的な秘密ページも、そのまま送られてしまっては秘密でなくなります。
AlexaのAPIを使う拡張などで、閲覧ページの情報を収集するようなものもありますが、ユーザーが把握していたり、前記のような秘密のURLの収集をしないように対策するなど、ある程度のセキュリティーへの配慮をしているものもあります。しかし、この Awesome Screenshot のように何も予告せずに勝手に集めるというのは問題でしょう。URL がわかると限定公開の意味がなくなってしまうようなサービスの訪問アドレスも区別無くすべて送っているとなれば、悪用される可能性もあります。
この拡張、URL以外のもの、例えばwebサイトで入力した内容までも送っているのでは、と言っている人もいますが、Jacq さんの調査ではURLしか送られていないようだということ。
しかし、拡張のバージョンを上げてそういうコードを入れることもできますね。結局、ブラウザ拡張が安全かどうかは、提供元を信用するかどうかということになってしまうかと。毎回拡張のソースコードを読んだり、パケットの中を確認するのも現実的ではないですし。
Awesome Screenshot には Firefox版とSafari版もありますが、これらについて同じようなコードが入ってるかどうかはわかりません。Chrome版でだけやる理由もないので、安心はできないと思います。
まとめ
- ChromeのAwesome Screenshot拡張が、見たページのURLをどこかに送信している
- 送られたURLは SimilarWeb で使われているのではと思われる
- URLを他人に知られるとまずいサイトを使っている人は利用を避けた方がいい
- URL以外の送信は「今のところ」見つかっていない
「Awesome Screenshot が閲覧したサイトのURLを収集している疑い」への45件の返信
[…] Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ […]
[…] 参考Awesome Screenshot が閲覧したサイトのURLを収集している疑い […]
[…] Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ […]
[…] Awesome Screenshot が閲覧したサイトのURLを収集している疑い […]
[…] している疑いがもたれているようです。 Awesome Screenshot が閲覧したサイトのURLを収集している疑い 秋元@サイボウズラボ・プログラマー・ブログ 僕はこの記事を読んでからAwesome Screenshot […]
Awesome Screenshot が閲覧したサイトのURLを収集している疑い http://t.co/cbta0adYyy @akkyさんから
ふぁ~ / “Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ” http://t.co/97MovRj6GD
秘匿しているURLにクロールくる理由はこれか… / “Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ” http://t.co/dAFUAWRnA0
Awesome Screenshot 3.7.12から、設定画面の「Advanced Options」でオプトアウトできるようになったようです(元記事の追記より)。
最近、こういうの多いですね( ³⌓³) / Awesome Screenshot が閲覧したサイトのURLを収集している疑い http://t.co/DGweapifhw @akkyさんから
最近AwesomeScreenshot機能追加が激しいなと思い、見直そうと思ったらコレですよ。 | Awesome Screenshot が閲覧したサイトのURLを収集している疑い http://t.co/5I7X1dgrOa @akkyさんから
Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ http://t.co/3fdI2uX1nm
“Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ” http://t.co/fDtnjAhnLg
reading: Awesome Screenshot が閲覧したサイトのURLを収集している疑い http://t.co/zKDorhMDRW akkyさんから
ぎゃっ
■Awesome Screenshot が閲覧したサイトのURLを収集している疑い
http://t.co/Sw4LjAVILs
スクロールキャプチャが簡単にできるAwesome Screenshotの使い方https://t.co/cbTTWvJb10
私も早速クローム拡張機能に
追加したが、SimilarWebに
閲覧URLを送信されてるかも?http://t.co/ANyrA0snc8 @akky
うーん、仕事で結構使ってた…。今更だけど使うのを控えよう。 / “Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ” http://t.co/2BxguJj3IG
Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ
http://t.co/mE1UZmq0rF
Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ / http://t.co/PLtsTVukbZ
[…] Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ お気に入りAdd to favorites […]
ずっと使ってたけどクソ重かった。そして気づいたら使えなくて、ああなるほどってなった
■Awesome Screenshot が閲覧したサイトのURLを収集している疑い http://t.co/E3OBV4C00L
Awesome Screenshot が閲覧したサイトのURLを収集している疑い http://t.co/wTjr78qwQf @akkyさんから
SimilarWebも入れてたので完全に収集されてたな。自己責任だしそれなりにお世話になったからなんとも言えないけど…。
[…] Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ […]
気付かずに使ってた。
http://t.co/qx0q69KWxL
Awesome Screenshot が閲覧したサイトのURLを収集している疑い http://t.co/b48Jxi74KJ @akkyさんから
Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ http://t.co/vIBI1YUDfp
[…] Awesome Screenshotの怪しいとこ […]
Chromeで画面のスクショ取るのにAwesome Screenshotっていう拡張使ってたんだけど、これ閲覧中URLを外部に送るとかいうマルウェア的なことしてたんか…。初期は安全だけど拡張の自動アップデートで仕込まれるとか困るよな… http://t.co/C9orSlsWSE
ふむふむ / “Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ” http://t.co/nmnEoQgBCX
@tokiya_roma chromeのほうぐぐったらこんなんでてきた… http://t.co/tZWWBhprWk
Awesome Screenshot が閲覧したサイトのURLを収集している疑い http://t.co/NSqiPYCT7s @akkyさんから
Macでマルウェアとアドウェアを検出&削除できるアプリ『Malwarebytes』 http://t.co/kGtpRGgvVe
記事同様Chrome拡張Awesome Screenshot を検出。閲覧サイトのURL収集の疑いあり http://t.co/t5v69McFg5
普通に使ってた…。そして今機能拡張のページ見ると無くなってる…。 / Awesome Screenshot が閲覧したサイトのURLを収集している疑い http://t.co/OHrnRGqrtQ @akkyさんから
@LIG_J AWESOME SCREENSHOTはURLを無断でサイトのURLを収集・送信しているようなので、あまりおすすめしないほうが良いと思います。
http://t.co/OHrnRGI2Sq
[…] 参考 AWSOME SCREENSHOTが閲覧したサイトのURLを収集している疑い […]
[…] Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ […]
ソースを読んだわけでもないので完全に二次情報ですが、chrome拡張機能で画面キャプチャを撮りまくる私にとっては勝手に衝撃でした。Awesomeをご利用の方は(いまさらですが)ご参考まで。https://t.co/Gc6y89yzNR
Chromeで便利で使っていたAwesome Screenshotの拡張機能でしたが、個人情報を取得している不正が見つかっていることを知ってびっくり!
紹介されている記事に感謝!!https://t.co/S6WLN8Tv0f
・https://t.co/ezX9j8FYoD
ギョエー!家帰ったら抜かなきゃ!! https://t.co/7JjF0WdUzG
随分昔の記事だけど、Awesome Screenshotってスクリーンショットの拡張、スパイウェアだったんだな。一時期使ってたのが入れっぱなしになってた。ま、停止はしてたし…一応… https://t.co/twgj1sDehp
@nemoshin この拡張機能もこういう記事があるので、フリーのサービスには付き物だな~って思ってるよ!
Prtscnボタン押してペイント貼り付けとかがアナログだけど安心かもぬぇ
https://t.co/aC2xWtyuXb
むむっ?
Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ https://t.co/wyK5fpyvQr
@nagowl @mokeco_ これすか。 https://t.co/xJ6lZjrWqj
2014年の話か。つい去年ぐらいのことだと思ってたけどそんなに時間経ってた? / Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ
https://t.co/V6Jiuc09N7
@qzqrnln awesome screenshotはスパイウェアの疑いがあるので、セキュリティソフトがブロックしたのかもしれません〜(https://t.co/XjWWSBaoK7)似たソフトのNimbus Screensho… https://t.co/I9mUpge634