スマホでも標準搭載のWebブラウザ以外を使っている人も多いと思うのですが、もし『Brave』を利用しているなら使用をやめた方が良いかも知れません。
先日、人気ブラウザアプリの『Brave』がユーザーに知らせる事なく、ユーザーのクリックするURLを不正に改竄している事が明らかになりました。
リンクのアフィリエイト改竄
仮想通貨やブロックチェーン技術に関する情報を配信するAttack of the 50 Foot Blockchainは先日、高速ブラウジングと安全を謳う人気ブラウザアプリ『Brave』が不正にリンクアドレスを改竄している事を明らかにしました。
一般的なブラウザよりも安心安全である事を謳う広告ブロックWebブラウザが、他の広告をブロックしておいてアフィリエイトプログラムのあるサイトへのリンクについて、自社アカウントのアフィリエイトリンクに改竄していたのですから笑い事ではありません。
例えばAmazonの場合、単純に商品ページに移動する一般的なリンクと、ブログなどで紹介されブロガーが参加しているアフィリエイトプログラムのトークンが追加されたリンクが存在します。
『Brave』の場合は上記の両方のリンクを不正に改竄し、URLの末尾にAmazonアフィリエイトプログラムのトークンを追加する事によって、本来発生しないはずのアフィリエイトを得たり、ブロガーが得るはずのアフィリエイト収益を掠め取っていた事になります。
(下のツイートでは実際にURLが書き換えられ「/?ref=35089877」が末尾に追加される様子が見られます)
— Cryptonator1337 (@cryptonator1337) June 6, 2020
元々『Brave』はその開発理念として、「悪意ある広告はブロックし善意的な広告は表示する」「コンテンツ提供者には別の形で利益分配をする」などと説明していますが、実際はユーザーに内緒でアリフィエイト収益を得て収益化していたワケですね。
「無料アプリなんだから我慢しろ」なんて意見も出てきそうですが、ユーザーに知らせる事なくURLを改竄できるという事はそれ自体がとんでもない所業であり、ブラウザ業界全体の信用に関わる問題を発生させた事になります。
ユーザーに知らせず意図しないURLに書き換える事ができるという事は、悪意があればリダイレクト広告を見せずに踏ませる事もできますし、まるでマルウェアのように他のサイトなどへ強制遷移させる事もできるでしょう。
暗黙の了解ではないですが、今までブラウザは基本的に「ユーザーの選択したURLに手を加えない」事が前提となっており、これが人気アプリで崩された事は他のブラウザを提供する企業にとっても非常に大きな問題となってくると考えられます。
まとめ
ちなみに『Brave』側に悪意があった事は、Redditに書き込まれた本件の内容をすべて意図的に削除している事、Githubに存在したURLにトークンを埋め込む技術部分をすべて書き換えている事から明らかで、今後訴訟などを含め大きな問題となるのは間違いありません。
コレを発見したCryptonator1337(@cryptonator1337)さんは今すぐ『Brave』の使用をやめる事を推奨していますが、『Brave』側はこれらの内容はすべて嘘であるとコメントを発表しています。
