GoogleはChromeから偽のMicrosoftAuthenticator拡張機能を削除します

公式のGoogleChrome拡張機能のウェブサイトは、アドオンをダウンロードするのに最も安全な場所ですが、決して不浸透性ではありません。この証拠は、Googleが偽のMicrosoftAuthenticatorアドオンをChromeストアから削除した後に最近明らかになりました。

Chromeストアの認証システム認証システム

The Registerの報告によると、GoogleはChromeストアから偽のMicrosoftAuthenticatorアプリを削除しました。これは、インターネットが詐欺師アプリの報告で点灯してから約24時間後に発生しました。

詐欺師たちは、MicrosoftがまだChrome用の公式のAuthenticator拡張機能を持っていないという事実を悪用していた可能性があります。そのため、独自の悪意のあるバージョンをアップロードすると、それを争う公式アプリがなくても検索結果の上部に表示されます。

幸いなことに、アプリが合法ではなかったという明らかな兆候がありました。たとえば、このアプリはMicrosoftが開発したとは主張していませんでした。代わりに、会社名は単に「内線番号」として入力されました。

それにもかかわらず、拡張機能は何百ものダウンロードを確認し、削除時に3つ星の評価を獲得しました。そのため、拡張機能の完全な資格情報を確認しなかったユーザーは、トラップに陥る可能性があります。

誰かがダウンロードした偽の認証システムアプリが何をしたのか、完全にはわかりません。ただし、レポートによると、ユーザーのパスワードをフィッシングするための偽のMicrosoftログインページが表示されていました。また、CPU使用率が高くなり、クリプトジャッキングに関与している可能性があります。

もちろん、MicrosoftはTheRegisterへの声明の中でGoogleChromeストアにいくつかの選択の言葉を持っていました：

Microsoftには、MicrosoftAuthenticator用のChrome拡張機能がありませんでした。同社は、ユーザーが疑わしい拡張機能をChromeウェブストアに報告することを推奨しています。

この最近のイベントは、Chromeウェブストアのセキュリティに光を当てています。たとえば、Chromeウェブストアの公式の「MicrosoftCorporation」デベロッパープロファイルを使用せずにアプリをアップロードすることで、Googleのセキュリティをどのように乗り越えたのでしょうか。

とにかく、公式のアプリストアにあるとしても、インターネット上のすべてのアプリを完全に信頼できるわけではないことを示しています。過去にChrome用のMicrosoftAuthenticatorをダウンロードしたことがある場合は、それらをできるだけ早く削除してから、ウイルススキャンを実行し、Microsoftアカウントのパスワードを変更して、すべてが正常であることを確認してください。

GoogleAppStoreの悪いラップ

Microsoftは、執筆時点で公式のAuthenticator拡張機能をリリースしていないため、実際に拡張機能を見つけた場合は、細心の注意を払って扱ってください。最近の詐欺は、すべてが見た目どおりではないことを証明しましたが、そもそもそれを店に持ち込んだのはユーザーのせいなのか、それともGoogleのせいなのか？

このような詐欺はすべてのアプリストアで発生しますが、自分自身を守る方法はいくつかあります。レビュー、ダウンロード数、開発者を確認することで、見ているアプリが本物かどうかをより正確に推測できます。