トロイの木馬が含まれるFirefox用アドオン、公式アドオンサイト内で見つかる 41
ストーリー by hylom
公式アドオンサイトからのダウンロードでも安心できない? 部門より
公式アドオンサイトからのダウンロードでも安心できない? 部門より
i12bhdn 曰く、
CNET Japanの記事によると、2月4日、Firefoxのアドオン提供サイト「Add-ons for Firefox」でマルウェアを含むアドオンが発見されたとのこと。問題のアドオンは「Sothink Web Video Downloader 4.0」と、「Master Filer」の全バージョン。これらのアドオンの公開はすでに取り下げられている。
Firefoxを利用しているWindowsユーザーはご注意を。
これらのマルウェアが故意に混入されたのかどうかは不明。
前々から言われてきたことだが。 (スコア:3, 興味深い)
Firefoxのアドオンが、IEのActiveXコントロールと同様の危険性を持っているといったような指摘は、以前からいくつかありました*が、ついに出たといった感じでしょうか。
今後もこういうのは増えてくると思うけど「拡張をインストールしない」以外にどうにか対処できないのかなぁ。
拡張ごとに許可する動作を設定できるようにするとか、無理かなぁ?
例えば、マウスジェスチャ拡張が全ローカルファイルへのアクセス権持ってる必要はないとか。
インターネットアクセスを、事前に設定された、スクリプトからの変更が不可能なURLからのGETに限定し回数制限も付ければ、こちらからの情報の送信は難しくなるとか。
以前あった指摘の一例
http://srad.jp/comments.pl?sid=226416&threshold=1&commentsort=... [srad.jp]
http://srad.jp/comments.pl?sid=267223&threshold=1&commentsort=... [srad.jp]
http://srad.jp/comments.pl?sid=275373&cid=798707 [srad.jp]
http://srad.jp/comments.pl?sid=362075&cid=1159789 [srad.jp]
1を聞いて0を知れ!
Re:前々から言われてきたことだが。 (スコア:2, 興味深い)
Chromeに乗り換えたら? (半分以上本気)
もっともChrome拡張でもリンクをすべてアフィリエイト付きに差し替えるくらいのことは余裕でできますけど。それでもレビューの負荷はFirefoxの拡張と比べものにならないでしょう。
いかなる悪意のある動作も行えないようにするのは、FTPクライアントやWebブラウザと同じ権限で動作しているマルウェアから、保存しているパスワードを盗まれないようにするのと同じくらい不可能です。
Firefoxのアドオンを現行の仕組みを保ったまま安全にするのも、Windowsアプリをアンマネージのまま安全にするのと同じくらい不可能です。Windows Vistaがコードネームで呼ばれていた時代の夢想では、今ごろアプリはすべてマネージコードになってバッファオーバフローやヒープオーバーフローや整数オーバーフローやformat stringなどの攻撃は過去のものになるはずだったのでしょうが、どうしてこうなった。
> 拡張ごとに許可する動作を設定できるようにするとか、
Jetpackでそのような仕組みを導入すべきだとpiro氏が力説しています [sakura.ne.jp]が、2年前ならともかく、「Chromeに勝たなければならない」という条件下でうまく行くとは思えませんね。
Re: (スコア:0)
もしFirefoxがMS製品だったなら「拡張addonをインストールしない」なんて
おとなしい対策ではなく、Firefox以外に乗り換えろなんて言われちゃいますね。
Firefoxがこれだけシェアを伸ばしてくると、Firefoxユーザが攻撃対象として
十分な価値を持っていることになりますね。
今回ので、その可能性が公になったことで、マルウェア作者らがFirefoxを
対象とみなす転換点になったかもしれません。
いったん攻撃の対象とされるようになると、脆弱性の数やアップデートが多く、
ソースが公開されていることからFirefoxはIEよりもリスクが高いのですから
ユーザは注意が必要ですね。
これまで「IEは危険、Firefoxは安全」とだけ紹介して初心者にFirefoxを
使わせていた人がいたら、今後は紹介の仕方を変えたほうがいいでしょう。
それで (スコア:1)
今までどうしてたんでしょうね。
きちんと何かのセキュリティソフトを使っていて検知できていたのか、
全然気づかずにそのまんま使用していた(もしくは現在進行形で使用している?)のか。
仮にウィルスに気づいた人がいたとしても、そこからMozillaにフィードバックが
きちんと行ったかというと多分行かなかったんだろうなー。
#憶測。
Re:それで (スコア:1)
問題は「いつ仕込まれたか」ですね。
2007年から CNET のサイトで公開してたそうですが、まさか3年間もマルウェア仕込みっぱなしだったってことはないでしょう。仕込まれたのは最近じゃなかろうか、と想像します。Sothink…はAdd-ons for Firefoxからは2月2日に、その後2月5日にCNETから削除とのことなので、少なくとも Mozilla -> CNET という順で連絡が行ったんでしょうね。
一方の Master filer は全バージョンと書いてあるのにSothinkは 4.0 とあるので、4.0 じゃないのは安全って事でいいのかな。ちなみに最新版は5.7 [sothinkmedia.com]。
Re:それで(オフトピ) (スコア:5, 参考になる)
中国製で且つGPLライセンス違反によるものだったあたり、さもありなん
という感じでしょうか・・・
FlashGotとSothink: ライセンス違反の一事例 [osdn.jp]
Re: (スコア:0)
バツウェアだ
かわいそうな日本人AC専用、ならありでも…… (スコア:1)
知らない人にはそう呼び変えた方がいいでしょうね。
でもそれっていつか来た「日本asガラパゴス」への蟻地獄まっしぐら。
ストライクとボールを適性語であるからと言い換えた人たちと感性近い人にはわたしによりしっくりするんだろうけど。
Re:かわいそうな日本人AC専用、ならありでも…… (スコア:1)
英語圏とその周辺ではmalwareの方がダメ-ウェアだと見ただけで理解できたとしても、
日本人がダメウェアと見ただけで理解できないなら意味ないって言うことでしょう。
ガラパゴスとか全く関係ない、ローカライズですよ。
ローカライズの批判だったら (スコア:1)
でも、#1715472 がチクリと辛辣な皮肉をいうにとどまらず、
ローカライズのあるべき姿を示唆する意図があったのかなかったのか
までは汲み取れませんでした。
Re:かわいそうな日本人AC専用、ならありでも…… (スコア:1)
元を辿ると「ネタにマジレス」だと思うけど、
一般PCユーザーの場合は、コンピューターウイルスとウイルスの違いも分かってない
場合もあるので、全ユーザーに理解してもらうのは到底無理だと思う。
これに対し技術者の場合は「英語の分からない技術者なんていない」(或いは「英語が
分からない奴は技術者に値しない」?)が世界の常識らしいから、あえていうなら
「技術者は英語がわからなくて当然」という日本の常識がガラパゴスでは。
#つか、そのくらい覚えようよ……。"malfunction"くらい、マニュアルで出てきそうな単語だよ。
#辞書で調べたら例文がおもろい。
#"If the document is really important, make two backups in case of malfunctions."
マジレス上等 (スコア:1)
malwareみたいな英語が含意する"mal-"まで義務教育、高等学校までで扱ってくれるんでしょうかね?
たぶん範囲外扱いで自習しないと知らないままで通過する人が過半数のように想像します。
なんとなくシンガポールや中国、インドあたりは当然のようにこれくらいの水準クリアしている気がするけど
日本の英語教育は日常会話の底上げよりももっともらしい何かまで具体的に目指しているのか
まるで見当がつかないです。辞書引いてどれだけ身につけてもらえるのかも含めて。
Re: (スコア:0)
Re: (スコア:0)
ここにぶら下げてるってことは技術者に必要な英語までもれなく義務教育で全国民に教えろって言ってるの?
そんなことだから日本の労働者は過剰品質だって言われるんだよ…ってこれは叩きどころなのかどうかわからなくなってきた。
Re:かわいそうな日本人AC専用、ならありでも…… (スコア:1)
マルウエアは「まる=糞(純然たる日本語)」だと思ってたよ!
「まる=糞」もスラドで知ったんだけどな~
the.ACount
Re:かわいそうな日本人AC専用、ならありでも…… (スコア:1)
つまり、そこまで高度に英語が理解できない人はPC触るなってことですか?
高校レベルどころか、大学の一般教養レベルでもそんな話はやりませんよ?
#日本独自の物をなんでも「ガラパゴス」と言って叩いて西洋万歳と主張するって、思考が安易すぎでしょう。
#日本の文化を捨ててアメリカと同化するべきだとでもおもっているのでしょうか?
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:かわいそうな日本人AC専用、ならありでも…… (スコア:1)
接頭語(de-, in-, ...) の造語力のことに関してたとえ中学英語の範囲外であってもせめて
高校英語の一環で多少なりとも自己発展学習とかで(大学受験などを目指すものに対象を絞るでも可)
少しでも紹介するようになっていればいいなということなんですが、
これってrenjaさんが言うほど高度な学習内容ですか?
むしろ教え方全般に問題があって本来教わっていてもおかしくないことがまるで
教育されていないことに問題があるんじゃないかと思っています。
(/.-jには高校までに教わっているはずだ、学んでいない理解していない方に問題ありという人もいる気がする)
# 物理/化学の受験参考書とかには専門用語がギリシャ・ラテン語由来で造語された話がコラム形式で扱われて
# いたりするから文法の副読本などで触れている気もする。各高校の教育目標水準のしだいではあるが。
コンピュータリテラシ教育が不足している現状にかんがみれば、
一般向けにOSのことをいちいち「基本ソフト」と言い換えるメディアにおかれましては、
マルウェアについてもそれに準じた配慮してほしいけど、わたしにとっては
TVや新聞でオペレーティングシステムを基本ソフトと言い換えられたり
マルウェアについてもバツウェア(仮)と言い換えられることになってしまうと
逆に何の話なのか理解するのに時間を要するのでそれは同意したくないなあ。
この話題でガラパゴスに関しては撤回します。というかすでに撤回済み。敵性語のTYPOについても同意。
Re: (スコア:0)
意味、完全に逆。
Sothink Web Video Downloader4.0とdownloadhelper4.7 (スコア:1)
先日、常用していたアドオンMitterが、Fx3.6にした際に直前のバージョンから不安定だったものがとうとう起動しなくなったので、代替としてdownloadhelperと言うアドオン見付けて試しに入れてみたのですが・・・同じ目的&似た名前で一瞬ぎょっとしました。
私はウイルスバスターなので、勘違いして恨む気持ちもありましたが・・・無実の罪で正直スマンカッタと思う。
ザルチェック (スコア:0)
安全性のチェックがザルだと意味がないですね。
Re:ザルチェック (スコア:1)
ってどこに書いてあります?
Mozillaのサイトでも、「作者を信頼しているアドオン以外はインストールしないでください」と注意書きありますよ。
ザルとかじゃなく、そんな安全性を担保した配布サイトではないです。
Re: (スコア:0)
> ザルとかじゃなく、そんな安全性を担保した配布サイトではないです。
そう言ってしまうと、「Firefoxのアドオンはどれもインストールしないでください」
と言っているようなものですよ。
直接会ったことがあり、私生活も含めてよく知っている人物でもない限り、
その作者を信用するなんてことできないと思いますが。
なにをもって信用すればいいんでしょうか?
Mozillaのサイトの注意書きは、ユーザに「自己責任で」と転嫁しているだけですね。
Re:ザルチェック (スコア:1)
何を持って信用するかは、個人で判断するしかないでしょう。
Microsoftなど名の通った会社とかなら大丈夫だと判断する人も多いでしょう。
これは別にfirefox拡張に限らず、ウェブ上でソフトをダウンロードして使う際にも、当然のように気をつけなければならないことです。
上場企業のベクターが配布してるソフトだから大丈夫だろう、っていう人もいるでしょうし、気をつけねばと思う人もいるだろう。
実際、ソフトにウイルスが混入してたこともあるし、そもそもそのソフトが悪意のある行動をしないことも保証してないですよ。
Re: (スコア:0)
>いやいや、自己責任で、と転嫁してるんじゃなくて、自己責任なんですよ。
そう自己責任。
Firefoxそのものを使うのも自己責任。
ただ、
野良Add-onではなく、厳格な審査(をしているらしい)Mozilla Add-onsでは"何か"を保証しているのではないでしょうか。
今回の場合は作者の意図が故意であったかどうかは別として、不適切なアドオンをMozilla Add-onsで提供した。
以前piro氏がwindowsをフォーマットして再起動させる拡張のデモを行ったことがありました。
また悪意を持った拡張を作ることは簡単だとも言っていました。
悪意になるものを排除できなかった、それが問題だと思っています。
Re: (スコア:0)
いやいやいや、悪意があるかどうかなんて、年単位で裁判やっても決着がつかなかったりするのに、ネット越しに見抜くなんて神業ですよ。しかも、拡張作者がマルウェアの作者ではない場合は、「悪意」がないんですから、余計に困難です。
実際の拡張レビューはこんな感じです。
https://addons.mozilla.org/en-US/developers/docs/policies/reviews [mozilla.org]
バイナリはソース提出義務があり、黎明期にくらべると遥かに強力な体制でレビューしています。まあ、それだけやってこのザマだとも言えますけど。今回は、別のアンチウィルスソフトを試してみたら2件見つかった、という話なので、ウィルススキャンをやっているのに引っかからなかった場合は、誰が責任を取るべきなんでしょうね。
Re:ザルチェック (スコア:1, 参考になる)
私は、今回の件に関して言えば、AMOだけでなく、Firefoxの脆弱性でもあると思います。
作者にある程度スキルがあれば、スキャンに引っかからないマルウェアも作れるでしょうが、今回はスキャンで発覚したわけですから、AMOが怠慢を言われるのは致し方のないところでしょう。ただ、別にスキャンしていなかったわけではなく、そいつに引っかからなかっただけなので、そこまで責められないかな、と。使っていたアンチウィルスソフトの名前を公表して欲しいとは思いますけど。
問題は、Firefox自身がマルウェアを関知できなかったことです。Windows版に限って言えば、ダウンロード終了後にFirefox自身がウィルススキャンのAPIを呼び出します。だから、普通にダウンロードしていれば、アンチウィルスソフトをインストールしてあるマシンでは分からないはずはないんですが、XPInstallに限ってそれがスルーされていた、ってのがちょっとお粗末かな、と。
マルウェア検知ってFirefoxに内蔵されているわけじゃなかったのか (スコア:1)
>Windows版に限って言えば、ダウンロード終了後に
>Firefox自身がウィルススキャンのAPIを呼び出します。
なるほど、あれはFirefoxに内蔵されていたり、
Mozillaがデータベースとして持っているマルウェアリストと
オンラインで照合しているものではなくて、
ローカルにインストールされているアンチマルウェアソフトを
呼び出すための共通APIを呼んでいたのですね。
屍体メモ [windy.cx]
Re:マルウェア検知ってFirefoxに内蔵されているわけじゃなかったのか (スコア:4, 参考になる)
そうですよ。具体的に言うと、ダウンロード直後にIAttachmentExecute::CheckPolicyでグループポリシーを確認しています。その際にOS側(+アンチウィルスソフト)がスキャンしています。
http://mxr.mozilla.org/mozilla-central/source/toolkit/components/downl... [mozilla.org]
http://msdn.microsoft.com/en-us/library/bb776294(VS.85).aspx [microsoft.com]
http://support.microsoft.com/kb/914922 [microsoft.com]
ただし、レジストリのScanWithAntiVirusをオフにしている場合はスルーされます。
http://support.microsoft.com/kb/883260 [microsoft.com]
LinuxにもこういうAPIがあればいいんですけど、どうも、OS側でサポートしようっていう動きは見当たりませんね。実質的にClamAVの独占状態だから、標準化するモチベーションが低いんですかねぇ。
Re: (スコア:0)
カーネル開発者(とくにSELinuxの中の人)が「アンチウイルスソフト用APIと称したバックドア」を入れるのを嫌がってるらしいですねえ。だからと言って何も活動していないわけでもないようです。ってこれ1年も前の記事ですか。
http://www.atmarkit.co.jp/flinux/rensai/watch2008/watch12a.html [atmarkit.co.jp]
Microsoftがx64 Windowsに「バックドア」を入れるのを嫌がったのにだっていちおう正当な理由があるわけですが、Microsoftがやると「不公正な競争」と呼ばれてしまうわけですね。
Re: (スコア:0)
Re: (スコア:0)
別に、カーネルでサポートしなくても、freedesktop.orgあたりが音頭とればいいわけで。
もちろん、ファイルをいじるたびに挙動を監視するタイプの本格的なウィルススキャンにはカーネルのコールバックが必要でしょうけど、Firefoxはキャッシュに入っている全てのファイルを検査したいわけじゃなくて、ユーザーが明示的にダウンロードしたファイルだけを調べたいわけです。所詮、水際作戦なんですけど、ブラウザをはじめとするダウンローダー(wgetとか)は水際作戦以外では協力しようがないのも事実でしょう。
ClamAVにダウンロードディレクトリを監視させるのが手っ取り早いんでしょうが、そうは言っても、Firefoxは保存先を別ディレクトリに指定できますし、wgetだとカレントディレクトリでしょう。こういう多数対多数になる関係の場合は、どこかで一本化してくれるとみんな幸せかなぁ、と。
AnyTimeThinkとよばれるものなので (スコア:0)
華麗にスルーしてくれます。
Re:AnyTimeThinkとよばれるものなので (スコア:1)
スルー力が足りないので、このコメントに引っかかってしまった。
うーん、うーん、AnyTimeThinkなんてぐぐってもさっぱり分からない。
だれか、このACさんによる謎のメッセージを解読してください。
これもWindowsのみに影響する問題だね (スコア:0)
Windowsは相対的に危険なプラットフォームという例がまたひとつ出たってだけの話
別に珍しいことじゃない
Re:これもWindowsのみに影響する問題だね (スコア:1)
これだけ挑発されても他OS向けが出回らないのは不思議。
the.ACount
Re: (スコア:0)
Firefoxはマルウェア作者にとってわざわざ対応する価値がある程度のシェアをすでに取っていますが、MacやLinuxのデスクトップOS市場におけるシェアは全然まだということでしょう。
Re: (スコア:0)
> Windowsは相対的に危険なプラットフォームという例がまたひとつ出た
いくら出てもシェアに影響しないので、無視する事にしました。
だって他がクソ過ぎるんだもん。
Re: (スコア:0)
> いくら出てもシェアに影響しないので、無視する事にしました。
> だって他がクソ過ぎるんだもん。
セキュリティを犠牲にしてまでもWindowsを使いたい理由があるなら
そういう選択もアリなんじゃないの?
俺は使わないけどね
Macの優秀さがまた証明されました (スコア:0)
Apple製以外の製品がいかに駄目であるかよくわかったでしょう
皆もWindowsやLinux、Firefoxといった腐った製品は捨てて、Mac+Safariで幸せになりましょう
Re: (スコア:0)
気づいている人がほとんどいない。
続報: Sothinkはシロ (スコア:0)
ってところかな。