Chrome拡張機能「Save Image as Type」は、数百万人がWebP画像をJPGやPNGとして保存するために使用していましたが、マルウェアとして特定されたためGoogleによって削除されました。このツールは、閲覧データをアクセスするための広範な権限を要求し、悪意のあるコードを含んでいました。この事例は、サードパーティの拡張機能に無制限のアクセスを許可するリスクを露呈しています。
「cookie stuffing」と過剰な権限のリスク 🚨
検出された悪意のある手法は「cookie stuffing」で、拡張機能が同意なしにアフィリエイトのクッキーを注入し、不正な収益を生み出していました。all_urlsの権限を持つため、訪問した任意のサイトのデータを読み取り・変更できました。これにより、拡張機能はアクティブなセッション、フォーム、メールやオンラインバンキングの機密情報にアクセスできるマスターキーとなります。
あなたの画像コンバーターが今やアフィリエイト業 😒
あなたがフォーラムにアップロードするためにそのWebPをPNGに変換するのに苦労している間、拡張機能は申告されていない副業をしていました。あなたが知らないうちに、バックグラウンドでアフィリエイトのクッキーを操り、追加のコミッションを稼いでいました。求めていないマーケティング付きの画像変換サービス。少なくとも多機能でした。