パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していた」記事へのコメント

  • by Anonymous Coward on 2018年09月10日 18時56分 (#3478054)

    https://japanese.engadget.com/2018/09/10/mac-app-store-adware-doctor/ [engadget.com]

    Mac に本来存在するはずのサンドボックスが回避されて情報収集がされました。

    ブログ記事によれば、Adware DoctorはMacのサンドボックス機能(ファイルを仮想環境に隔離し、外にあるデータなどに影響を与えないようにするしくみ)を回避し、ChromeやFirefox、Safariのブラウザ履歴を取得するとのこと。

    サンドボックスが回避された(脆弱性があった)のにも関わらず、脆弱性の修正もなければ、そのアプリの販売自体も1か月近く続けられました。

    Wardle氏らはAdware DoctorがApp Storeのルールとガイドライン(データ収集に関してユーザーの同意が必要)に違反しているとして、アップルに問題を通報。しかし、その後も1ヶ月近く、App Storeで販売が続けられる状態が続いていました。

    悪意のあるソフトウェアなんてありふれているわけだし、トレンドマイクロが糞フトメーカーなのは周知の事実なのでニュース性はたいしてありません

    どう考えても Apple の対応とサンドボックス回避の脆弱性の方が大問題です

    • by Anonymous Coward on 2018年09月10日 19時19分 (#3478066)

      ちらっと動画を見たけど、Adware Doctorがマルウェアのスキャンと称する作業を始める時に /home/$USER へのアクセスを求めるダイアログが出てくる模様。
      もしかして、「サンドボックス回避」ってこれのことだろうか。
      だとしたらただの間抜けなソーシャルエンジニアリングだが、わざわざ金を出して買った著名なセキュリティ会社のソフトが特別アクセスを要求したら普通の人はOKするよなあ。私自身、あそこで首をひねるくらいはするだろうが、いくら糞ソフトで有名な会社とはいえ、天下のトレンドマイクロがまさかマルウェアを配布するところまで落ちぶれているとは思わないから、たぶんOKしちまうと思う・・・。

      親コメント
    • by Anonymous Coward

      > トレンドマイクロが糞フトメーカーなのは周知の事実

      限界オタクには周知の事実でも企業向け製品のシェアは13年連続ナンバーワンだそうですが、勝手に企業秘密を送信したりしないってどうやって信頼できるんでしょうね。他人事ながら心配になってきます。

      • by Anonymous Coward on 2018年09月10日 20時06分 (#3478102)

        トレンドマイクロのパスワードマネージャは、JavaScriptとNode.jsを用いて構築されており、
        ローカル環境上でウェブサーバを起動し、APIコマンドを受け付けるようになっているものの、
        外部(インターネット)からウェブサーバにアクセス可能で、任意のコマンド実行が可能でした。
        GoogleのOrmandy氏は、この脆弱性を発見するのに30秒程度しかかからなかったそうです。

        パスワードマネージャが、ウェブサーバを含んでいて、外部からのアクセスも受け付ける状態だった。
        もうこれは素人でもやらないようなレベルが低いを通り越した超超超低レベルの脆弱性です。

        https://japan.zdnet.com/article/35076105/ [zdnet.com]

        まともな技術があれば、パスワードマネージャのWebサーバに外部から認証無しでアクセス可能なんていう
        アフォな脆弱性はありえないので、こんな会社の製品を導入するのは論外ですよね

        こんな会社の製品を導入する企業の方も、糞でしょう
        ローカルに勝手に認証無しでWebサーバを立て、パスワードを全世界に公開するパスワードマネージャなんていうのは、
        トレンドマイクロ以外では前例がありません

        ※この脆弱性は現在は修正済みですが、こんな低レベルの脆弱性に気が付かず製品版として販売した時点で論外です

        親コメント
        • >パスワードマネージャが、ウェブサーバを含んでいて、外部からのアクセスも受け付ける状態だった。
          >もうこれは素人でもやらないようなレベルが低いを通り越した超超超低レベルの脆弱性です。

          自社製品でも検出可能なセキュリティーホールを搭載してるんだから
          わざとやっているんじゃない?

          邪推すると、当初のビジネスモデルでは食っていけないので
          違うビジネスモデルにシフトしてるとか
          親コメント
        • 常設された通信が80ポートに展開し続けてる時点で情報は筒抜け 最大の惰弱性がインストールを許す事だとするならば、常設通信が生きている限り 情報漏えい遮断など不可能だし、他人の虚言を信じる方が間抜けなだけだ 金を稼ぐと言う時点でその行為は対象者を偽る程に収入が上がるのだから
          親コメント
        • by Anonymous Coward

          トレンドマイクロのパスワードマネージャはIE・Firefox・Chromeなどあらゆるブラウザに対応するため
          ローカルに構築されたHTTPサーバとブラウザアドオンが通信する仕組みになっているのだよ
          なので、HTTPサーバ自体は仕様上必要なものなのだ

          問題点はlocalhostのみから接続を受け付けるべきだったのに任意のIPアドレスからの接続を受け付けてしまった点だけ

          • Windows Firewallやサードパーティ製ファイアウォールを無効にしているか、パスワードマネージャへのインバウンド接続を例外設定で許可してしまった
          • ルータ(NAPT)によって割り当てられたプライベートIPアドレスがなく、グローバルIPアドレスでインターネットに接続している。あるいは悪意のあるクライアントがイントラネット上に存在する

          という2つの条件が揃った限定的なケースでのみ悪用可能な脆弱性なので、被害者はそう多くないのでは

          • by Anonymous Coward on 2018年09月10日 20時56分 (#3478151)

            > なので、HTTPサーバ自体は仕様上必要なものなのだ

            ダウト。今時は native messaging で作るものだよ。

            親コメント
            • > IE・Firefox・Chromeなどあらゆるブラウザに対応するため
              IEはnative messagingサポートしてない。

              今時はIEサポートしない、のであれば
              > 今時は native messaging で作るものだよ。
              もまた間違いではない。

              ちなみにEdgeは UWPアプリとのみ native messaging 通信できる模様

              親コメント
            • by Anonymous Coward

              日本の企業(?)に、今どきのIT技術を求めるとか馬鹿じゃないの?

              • by Anonymous Coward

                >日本の企業(?)
                書き方からして分かってると思うけど中国の会社だよ。形式上であっても東京に本社があるってのが商売上重要なんでしょうね。

              • by Anonymous Coward

                台湾を中国といっていいのかは、日本人としては微妙なラインだ。

                だがしかし、蓮舫が台湾国籍を持っていたことをもって「中国の工作員だ」といっていたのでネトウヨ論的には台湾=中国として扱うべきなのかな。

                注)あなたがネトウヨと言ってるわけではありません。

                トレンドマイクロは台湾人の創業者らがアメリカで設立した会社で、その後台湾に移転したりしたのち、日本に本社を移した。
                なんで日本はトレンドマイクロが好きなんだろうね。
                日本語対応力が良かったからかな。

          • by Anonymous Coward on 2018年09月10日 22時06分 (#3478191)

            問題点はlocalhostのみから接続を受け付けるべきだったのに任意のIPアドレスからの接続を受け付けてしまった点だけ
              Windows Firewallやサードパーティ製ファイアウォールを無効にしているか、パスワードマネージャへのインバウンド接続を例外設定で許可してしまった
              ルータ(NAPT)によって割り当てられたプライベートIPアドレスがなく、グローバルIPアドレスでインターネットに接続している。あるいは悪意のあるクライアントがイントラネット上に存在する
            という2つの条件が揃った限定的なケースでのみ悪用可能な脆弱性なので、被害者はそう多くないのでは

            PoC見れば [chromium.org]わかるが完全に間違い

            親コメント
            • by Anonymous Coward

              外部からlocalhostのhttpdに接続できるってわけじゃなくて、
              JavaScriptコードを使ってlocalhostのhttpdにアクセスされる脆弱性なのか

              ポート空いてなくても悪用できるから事態は深刻だな

        • by Anonymous Coward

          情シスって基本クソみたいな連中がやってるから、トレンドマイクロ製品みたいな品質悪いけど値段安いやつを入れたりするんだよな

          • by Anonymous Coward

            え?!!!
            トレンドマイクロが安いんだって?

            どこの平行世界に住んでらっしゃる?

            アンチウィルス製品を選定するときには、日本で流行っているマルウェアにいかに早く対応してくれるベンダーかどうかで判断するといいよ。
            欧米と日本ではマルウェアの流行ぶりが違うことが結構あるので、いかに感度の良いセンサーを日本に持ってるかで対応力も違う。

    • by Anonymous Coward

      俺はトレンドマイクロほどではないにしても、Appleもセキュリティの対応で評判がよいとはいえないので、Appleの対応が大問題だったら、トレンドマイクロも大問題だし、そうでないなら、どちらもそうでないと思うけどな。

    • by Anonymous Coward

      あなたがサンドボックスの意味を知らないとしか思えないんですが。

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...