IT掲示板
IT掲示板海外技術情報を日本語でキャッチアップ
HN🔥 131
💬 71

【注意】Chrome拡張「JSON formatter」がアドウェア化?ソース公開終了でマルウェア混入の報告

jkl5xx
約2か月前

ディスカッション (10件)

0
jkl5xxOP🔥 131
約2か月前

人気のChrome拡張機能「JSON formatter」がクローズドソース化され、アドウェアが注入されているとの報告がありました。長らく愛用されていたツールですが、現在はセキュリティ上のリスクがあるようです。利用中の方は速やかにアンインストールし、代替のJSON整形ツールを探すことをおすすめします。

🔗 リンク先:https://github.com/callumlocke/json-formatter
1
jkl5xx
約2か月前

今日、Chromeのインスペクターで「give-freely-root-bcjindcccaagfpapjjmafapmmgkkhgoa」という怪しげな要素を見つけたんだ。調べてみたら、1ヶ月ほど前に人気のオープンソースの「JSON Formatter chrome extension」がクローズドソース化されて、チェックアウトページにアドウェアを埋め込むようになっていた。どうやら位置情報のトラッキングもしているみたい。HNでは話題になっていなかったので、プライバシーを気にしているみんなに警鐘を鳴らそうと思って投稿したよ。今のブラウザ拡張機能のマーケットプレイスは、もう失敗した実験場みたいなものだな。自分でJSON整形用の拡張機能をサクッと書いて、二度とこんな問題に関わらないようにするよ。

2
nightpool
約2か月前

ModHeaderでも同じことがあったよ。勝手にGoogle検索結果の全ページに自前の広告ネットワークへのリンクを差し込むようになったんだ。何が起きてるのか突き止めるのに何週間もかかったよ。すぐアンインストールしてGoogleに通報したけど、その拡張機能はまだ残ってるし、★1のレビューがつき続けてる。

3
computerfriend
約2か月前

作者のCallum Lockeという人物が、しっかりとした評判を持つ実在の人物らしいというのが興味深いね。前ならこれを信頼の証だと思っていたはずだ。本物の開発者なら、後先考えればそんな悪どい真似はしないだろうと踏んでいたからね。

4
captn3m0
約2か月前

FirefoxのJSONView拡張機能も少し前に狙われたことがあるよ。(2017年だったかな?)Mozillaが警告付きで強制アンインストールしたことで初めて気づいたんだけど、Bugzillaまで追いかけて確認したらブラウザの閲覧URLが漏洩していたのが分かった。

5
jansommer
約2か月前

投稿者が「更新されない、シンプルでオープンソース、ローカルのみで動く『クラシック』版を使いたいなら…」なんて話してるけど、そんなの究極の選択じゃないか。JSONフォーマットなんて速いペースで進化してるのに、JSON整形のSaaSに毎月課金すべきか、それとも更新なしで一生やっていくべきか悩むところだよ。

6
wesbos
約2か月前

私も1週間前に気づいたよ。結局、これまで使ってきた複数の拡張機能から気に入った機能を全部詰め込んだ自分専用のツールを作っちゃった。https://github.com/wesbos/JSON-Alexander

7
jimrandomh
約2か月前

ここで一番の問題はソフトウェアアップデートというイデオロギーだと思う。更新にはトレードオフがあって、セキュリティ脆弱性の修正が必要な一方で、開発者は旧バージョンのサポートやサーバー管理をしたくない。でもその反面、開発者がユーザーの望まない決断をしたり、サプライチェーン攻撃で一時的に乗っ取られたり、ブラウザ拡張機能を売却して永久に悪用されたりするリスクがある。個人の小規模な拡張機能については、基本的に自動更新を許可しちゃいけないと思う。残念ながらGoogleのマーケットプレイスはそういう仕組みじゃないし、Googleのビジネスモデル自体、アドウェア化することがストアから追放されるべき違反だという認識が薄い。少数の非常に有名で長年運用されているものを除いて、ストアからは何もインストールすべきじゃないね。ブラウザ拡張が欲しいなら、ソースコードをダウンロードしてローカルでアンパックインストールするのが基本だと思う。(Firefoxのストアはまだマシだけど、悲しいことにFirefoxではストアを通さずに自作拡張を読み込むことができないんだ。)

8
pfg_
約2か月前

Firefoxならその機能(拡張機能のローカルロード)がデフォルトであるし、すごく便利だよ。それに、適当な誰かに売却されてアドウェアに置き換わってしまうなんてことも絶対にないしね。

9
drunkendog
約2か月前

数年前、作者がHNに投稿していた内容だよ。「念のため、使っている人がいるかもしれないから言っておくと…私はJSON Formatter拡張機能の作者で、12年前にオープンソースとして公開してからずっとメンテナンスを続けてきて、今は200万ユーザーがいる。断言するが、データをどこかに送信するようなコードを追加するつもりはないし、そんなことをする他人の手に渡すつもりもない。これまでも胡散臭い連中からデータを盗もうとしているであろう甘いオファーを何度も受けてきた。自分の名前で公開したことを後悔して、名声を捨てて金を受け取れたらと思うこともあるが、そうしてしまった以上、名誉ある立場でいるしかないんだ。唯一の救いは、自分は決して売国奴にならなかったと胸を張れることだね。」 https://news.ycombinator.com/item?id=37067908