ブラウザの拡張機能は、暗号資産の盗難を行う詐欺師の手助けになると、
今週末のリガで開催されたバルト海ハニーバジャーカンファレンスで、CasaCEOのJeremy Wlelch氏が警告しました。
“ブラウザの拡張は、主要なリスクとなり、そしてそれらのリスクは現在までに議論されていません”
Welch氏はそう話しました。
拡張機能は、漏洩し、盗まれ、そして詐欺師に利用される多様なデータを収集することができます。
1つ例はブラウザの閲覧履歴で、これは暗号通貨に関連したサイト訪問を含む
利用者のオンライン習慣を露わにしてしまいます。
“どこであろうが、必ずビットコインアドレスは晒さないようにして下さい”とWelch氏は警告しました。
また、他に注意しておくべき点としては、拡張機能は利用者のKYC情報を獲得し、
それを詐欺師に漏洩させるということです。
現段階においてKYCが要求される、ただ1つの主要マルチシグシステムは、
Unchained Capital社によって供給されているとWelch氏は話しました。
彼は、身元確認データを収集し、共通で利用されるカスタマーソフトウェアに反対しました。
例として、Wlch氏は、ユーザーがKYCフォームに記入した時、どのように拡張機能が、
デスクトップ背景に印象的な引用内容、もしくは他のコンテンツを提供し
データを盗むかデモンストレーションを行いました。
そのマルウェアは、暗号化して撮影された利用者の運転免許証のようなグラフィックデータを盗み、
それから簡単に復号化し、実際の写真によるIDデータをハッカーに提供しました。
静かなデータ盗難
この背景画面で起こっていることは、ユーザーが知る由もありません。
“あなたは素敵なバックグラウンドを得ますが、そのブラウザがデータを放出していることにあなたは気づいていません”
Welch氏はそう話しています。
これと同じデスクトップ背景拡張は、利用者が暗号資産を他の誰かに送金しようとした時、
別のアドレスとすり替え、代わりに詐欺師のウォレットに送金させます。
普遍的で人気のあるブラウザ拡張は、この状況を非常に危険にさせるでしょうとして
Welch氏は次のように注意しています。
“恐ろしいでしょう?私達みんなが、いつでもブラウザ拡張機能を使っているんです”
例えもしユーザーが、利用する拡張機能に注意深くなり、しっかりと選定したとすれば、
そのソフトウェアはアップグレードされ、ユーザーの知らない間に新たな危険な機能を獲得するでしょうと、
Welch氏は付け加えてました。
Welch氏は、パスワードマネージャー、テキスト編集アプリのGrammarly、
ブラウザ内でのライトニング取引向けの拡張機能であるJouel、Casa社独自のSats拡張と、
Lolliビットコイン報酬拡張機能を含む、多くのよく知られたアプリケーションが、
個人データ収集において、十分な許可をリクエストしています。
解決策?簡単な1つの方法はないとWelch氏は話します。
開発者等は、ユーザーエクスペリエンスをより安全に、そしてより良くするための、
より良いツールを構築し続けることだけが出来るとしています。
私達は、この問題にもっと議論する必要があり、それはなぜなら本当の攻撃に取って代わられた時に、
まだその段階にも達していないからです。
Welch氏によれば、Casa社はすぐに、より安全なセキュリティ研究の公開を計画しており、
ビットコイン開発者等と起業家に、同社へのアプローチを促進させ、
どのようにセキュリティ関連を対処するか、彼らの関心事とアイディアを共有するとのことです。
引用元:Browser Extensions Can Help Scammers Steal Your Bitcoin: Casa CEO
