Mozillaはユーザーのブラウジングを監視してドイツのサーバーに許可なくデータを送信する23のアドオンを公開停止しました。

このアドオンのうち、222,746人もユーザーがいた人気アドオンである「Web Security」は先週、Mozilla 公式ブログで紹介されていたアドオンでした。

今回停止されたアドオンが、既にFirefoxにインストールされている場合は自動で無効化されます。

www.zdnet.com

www.ghacks.net

www.dailymail.co.uk

Web Securityアドオンは、もともと マルウェアやフィッシングサイト、偽サイトなどからユーザーを保護すると謳うアドオンで、Mozillaの公式ブログでは以下のように紹介されていました。

Web Security is a sophisticated browser add-on that uses an extensive database to prevent websites from harming your computer or obtaining your sensitive data. Users are often lured to open counterfeit websites of banks, by convincing emails. The Web Security extension will help you detect these counterfeit sites so that you will not be decoyed to enter your sensitive information where it is not safe.

しかし、ドイツのサーバーに暗号化されていないHTTPを通じて情報が送信されていると判明したため その後ブログの紹介文は削除されました。

この問題は、uBlock Originの作者であるRaymond Hill氏と、ドイツのプライバシー研究科兼 ブロガーのMike Kuketzによって報告されました。

今回停止されたアドオンは、Web Securityだけでなく 以下のアドオンが含まれます。
(注:全てではない。参考:1483995 - Block add-ons associated with Web Security)

Browser Security
DirtyLittleHelpers
Popup-Blocker
Facebook Bookmark Manager
Facebook Video Downloader
YouTube MP3 Converter & Download
Simply Search
Smarttube - Extreme
Self Destroying Cookies
Popup Blocker Pro
YouTube - Adblock
Auto Destroy Cookies
Amazon Quick Search
YouTube Adblocker
Video Downloader
Google NoTrack
Quick AMZ

また、Mozillaのエンジニアが分析した結果によると 別の名前で登録されている複数のアドオンで同じコードが使用されていることが判明しました。同一の人物かグループの可能性もあると述べています。

個人的に

Web SecurityはMozillaブログで知って試しにインストールしていたので この話を聞いてすぐに削除しました。

セキュリティを気にして何も考えずに拡張機能をインストールするよりかは何もインストールしない方がマシなのかもしれませんね。

そう言えば、つい最近 Stylishで似たような問題があったような気もしますが…。

Mozillaは2017年にFirefox WebExtensionsの審査を人による審査からコンピュータによる自動審査へと変更していますが、そういった問題もあるんですかね？