Firefox および Chrome ユーザーが Google+ 内で Facebook ストリーム データを表示できるようにするアプリケーションは人気がありますが、コーディングの問題により、ユーザーをセキュリティ リスクにさらす可能性があります。
イスラエルの開発者Crossriderが開発したGoogle+Facebookは、Google+プラットフォーム内からFacebookのストリームを閲覧したり、Facebookのステータスを更新したりできる拡張機能です。この拡張機能は既に好評を博しており、同社幹部によると、わずか1週間で10万回以上ダウンロードされています。
残念ながら、コードは安全ではない可能性があります。CrossriderのCEOであるKoby Menachemi氏自身も、このアプリケーションは1日もかからずに開発されたため「製品が完璧ではない」と認めています。この事実を考慮すると、Crossriderの開発者が何かを見落としている可能性も否定できません。
Google+Facebookのセキュリティ問題の可能性に関する疑問は、RedditユーザーのRogueDarkJedi氏がアプリのプロモーション記事にコメントを投稿した週末に提起されました。コメントの中でRogueDarkJedi氏は、Google+Facebookは「マルウェアのように動作する」と主張し、「セキュリティ上の脆弱性がいつ発生してもおかしくない」と述べています。
問題となっているのはアプリの動作です。Google+Facebookは、動作させるために起動のたびに外部JavaScriptファイルをダウンロードする必要があります。Mozillaはこの動作を好ましく思っていません。スクリプトをホストするサーバーが侵害された場合、このようなシステムを使用しているアプリのすべてのユーザーが危険にさらされるからです。
このアプリは、検索設定をCrossriderが管理するサイトに変更したり、特定のウェブメールプロバイダーで送信されたメールに署名を追加したりするなど、一見不道徳に見える行為を数多く実行します。報告によると、アプリをアンインストールしても、Google+Facebookが行った変更の多くは削除されないようです。
「では、この人たちを信用していいのでしょうか?私の意見では、[罵倒語削除]いいえ。絶対にインストールしないでください。何よりも害を及ぼします。絶対に近づかないでください」とRogueDarkJediはコメントに書いた。
この投稿はCrossrider氏の注目を集めました。同氏はLifehackerのこのアプリに関する投稿に反応を示し、Lifehackerは読者にアプリのインストールを推奨しませんでした。共同創設者兼CTOのシュムエリ・アフダット氏は、Google+Facebookの自動更新機能は「今日の拡張機能技術の最先端」であり、ユーザーの許可なしに変更が行われることはないと反論しました。
RogueDarkJediは投稿を更新し、同社はユーザーに対して誠実ではなく、コードも依然としてずさんだと述べた。「ユーザーとRedditに嘘をつくのはやめてください。コードを整理し、謝罪し、ユーザーに何が起こるのかを伝え、プラットフォームの安全を確保してください。」
いずれにせよ、アプリをダウンロードしてしまった場合は、とりあえずアンインストールした方が良いかもしれません。個人的には、このRedditのコメント投稿者が指摘しているように、アプリがJavaScriptファイルを求めてCrossriderのサーバーに頻繁にアクセスしているという点は非常に妥当だと思います。
AntiSecを一度使うだけで、Crossriderのサーバーに侵入し、JavaScriptファイルを改ざんできます。近い将来、あなたのコンピューターはFacebookのストリームをGoogle+に投稿する以上のことができるようになるかもしれません。10万人以上のユーザーを抱えるCrossriderは、確かに容易で魅力的な標的です。
さらなる技術ニュースや解説については、Twitter の @edoswald と Facebook で Ed をフォローしてください。
