Mozillaがブログで推奨のプライバシー拡張機能に指摘 記述は説明なく削除
2018年8月19日 19:28
Mozillaの「The Firefox Frontier」ブログでFirefox向けプライバシー拡張機能として推奨された拡張機能14本のうち1本が接続先URLなどをサーバーに送信していることが指摘され、記事から記述が削除されている(The Registerの記事、Bleeping Computerの記事、Kuktez IT Security Blogの記事、gHacksの記事)。 この拡張機能「Web Security」はドイツのCreative Software Solutionsという会社が開発したもの。Mozillaのアドオンサイトから22万回以上ダウンロードされていた。問題はブログ記事に関するRedditのスレッドで、新しいページを読み込むたびにデータがhttp://136.243.163.73/に送信されているとuBlock Origin開発者のRaymond Hill(gorhill)氏が指摘した。このデータは暗号化されているが、復号用のスクリプトが拡張機能に含まれており、古いURLや新しいURL、拡張機能が割り当てたユーザーIDなどが送信されていることがKuktez-Forumに投稿される。 ブログ記事からは特に何の説明もなくWeb Securityの項目が削除されているが、本数については当初の14本のままになっている。Mozillaはコミュニティからの懸念の声を受けてWeb Securityの調査を開始し、調査の一環として記事から記述を削除したとThe Registerに伝えたという。一方、Creative Software Solutionsではデータの送信が機能の実現に不可欠であり、ユーザーの閲覧履歴を収集してはいないとThe Registerに説明、なぜ記事から削除されたのかわからないと述べているとのこと。 データがHTTPで送信されていることについてCreative Software Solutionsでは、SSLを使用した通信に変更すべくアップデート版の開発を進めているとMozillaのアドオンページで説明していたが、現在は公開停止でアドオンページも表示できない。なお、gHacksの記事では同じIPアドレスにデータを送信する拡張機能が他にもあることがコメントで指摘されており、これらの拡張機能もすべて公開停止となっている。